Kaspersky informa sobre el incidente de código fuente de Equation APT

A principios de octubre, The Wall Street Journal publicaba que el software de Kaspersky Lab se usó supuestamente para descargar datos clasificados del ordenador particular de un empleado de la NSA. Kaspersky Lab, que lleva trabajando en la lucha contra el ciberespionaje y el cibercrimen más de 20 años, ha tratado el incidente con mucha seriedad y ha puesto en marcha una investigación interna para recopilar hechos y resolver dudas.

El producto de Kaspersky Lab detectó el malware como Backdoor.Win32.Mokes.hvl y lo bloqueó

Los resultados preliminares de la investigación se publicaron el 25 de octubre. Un nuevo informe, publicado hoy, confirma los resultados iniciales y ofrece información adicional sobre el análisis de la telemetría de los productos de Kaspersky Lab relacionados con el incidente. Esta telemetría describe actividades sospechosas registradas en el ordenador en cuestión durante el período del incidente que tuvo lugar en 2014.

Resumen de antecedentes

• El 11 de septiembre de 2014, un producto de Kaspersky Lab instalado en el equipo de un usuario de EE. UU. informó de una infección de lo que parecían ser variantes del malware utilizado por el grupo Equation APT: un sofisticado actor cuya actividad ya estaba bajo investigación activa desde marzo de 2014.

• En algún momento posterior, parece que el usuario descargó e instaló software pirata en su equipo, específicamente un archivo ISO de Microsoft Office y una herramienta de activación ilegal de Microsoft Office 2013 (también conocida como «keygen»).

• Para instalar la copia pirata de Office 2013, el usuario parece haber desactivado el producto de Kaspersky Lab en su ordenador, ya que la ejecución de la herramienta ilegal no se hubiera producido con el antivirus habilitado.

• La herramienta de activación ilegal que contenía la ISO de Office estaba infectada con malware. El usuario se infectó con este malware durante un período no especificado mientras el producto de Kaspersky Lab estaba deshabilitado. El malware consistía en un backdoor que podría haber permitido a terceros acceder al equipo.

• Cuando se volvió a activar, el producto de Kaspersky Lab detectó el malware como Backdoor.Win32.Mokes.hvl y lo bloqueó para que no contactara con el servidor C&C. La primera detección del programa de instalación malicioso fue el 4 de octubre de 2014.

• Además, el producto también detectó variantes nuevas y conocidas del malware Equation APT.

• Uno de los archivos detectados por el producto como nuevas variantes del malware Equation APT era un archivo 7zip. Dicho archivo se envió de vuelta a Kaspersky Virus Lab para su posterior análisis, de acuerdo con la licencia KSN y de usuario final.

• Tras el análisis, se descubrió que el archivo contenía multitud de ficheros, incluidas herramientas conocidas y desconocidas del grupo Equation, el código fuente y documentos clasificados. El analista informó del incidente al CEO. A raíz de una solicitud del director general, el archivo en sí, el código fuente y cualquier dato aparentemente clasificado se eliminaron en cuestión de días de los sistemas de la empresa. Únicamente se almacenó el malware binario como se hace con todo el malware que se detecta para su análisis y clasificación. El archivo no se compartió con ningún tercero.

• La razón por la que Kaspersky Lab eliminó esos archivos y eliminará otros similares en el futuro es doble: primero, solo necesita el malware para mejorar la protección y, en segundo lugar, la compañía se preocupa por el uso de material potencialmente clasificado.

• Debido a este incidente, se creó una nueva política para todos los analistas de malware: ahora se requiere que eliminen cualquier material potencialmente clasificado que se haya recopilado accidentalmente durante cualquier investigación antimalware.

• La investigación no reveló ningún otro incidente similar en 2015, 2016 o 2017.

• Hasta la fecha, no se ha detectado ninguna otra intrusión de terceros aparte de Duqu 2.0 en las redes de Kaspersky Lab.

Para respaldar aún más la objetividad de esta investigación interna, han participado en el proceso distintos analistas, incluidos de origen no ruso y que trabajan fuera de Rusia para evitar posibles acusaciones de influencia.

Datos adicionales

Uno de los principales descubrimientos iniciales de la investigación fue que el PC en cuestión estaba infectado con el backdoor Mokes, un malware que permite a los ciberdelincuentes el acceso remoto a un ordenador. Como parte de la investigación, los analistas de Kaspersky Lab analizaron con más detalle este backdoor y otra telemetría enviada desde el equipo, en este caso no relacionada con Equation.

Antecedentes de backdoor Mokes

Se sabe públicamente que el backdoor Mokes (también conocido como «Smoke Bot» o «Smoke Loader») estaba a la venta en foros “underground” rusos al menos desde 2011. La investigación de Kaspersky Lab muestra que, durante el período de septiembre a noviembre de 2014, los servidores de comando y control de este malware aparentemente fueron registrados por una entidad china llamada «Zhou Lou». Además, un análisis más profundo de la telemetría de Kaspersky Lab mostró que el backdoor Mokes puede no haber sido el único malware que infectó dicho PC en el momento del incidente, ya que se detectaron otras herramientas y keygens de activación ilegal en el mismo equipo.

Más malware no relacionado con Equation

Durante un período de dos meses, el producto alertó acerca de 121 objetos maliciosos no relacionados con Equation: backdoors, exploits, troyanos y AdWare. Dichas alertas así como la telemetría disponible para ese periodo revelan que el producto detectó las amenazas aunque no es posible determinar si se ejecutaron mientras el producto estuvo inactivo.

Kaspersky Lab continúa investigando otras muestras maliciosas y se publicarán más resultados tan pronto como finalice el análisis.

Conclusiones

Las conclusiones generales de la investigación son las siguientes:

• El software de Kaspersky Lab funcionó como se esperaba y notificó a nuestros analistas las alertas basadas en firmas para detectar el malware del grupo Equation APT que ya se estaba investigando desde hacía seis meses. Siempre acorde con la descripción de la funcionalidad declarada del producto, los escenarios y los documentos legales que el usuario acordó antes de la instalación del software.
• Se eliminó lo que se creía que era información potencialmente clasificada y que formaba parte de un archivo que activó una firma específica para el malware Equation APT.

• Además del malware, el archivo también contenía lo que parecía ser el código fuente del malware Equation APT y cuatro documentos Word aparentemente clasificados. Kaspersky Lab no posee información sobre el contenido de los documentos ya que fueron eliminados en cuestión de días.
• Kaspersky Lab no puede evaluar si los datos fueron «tratados apropiadamente» (de acuerdo con las normas del gobierno de EE. UU.) ya que nuestros analistas no están capacitados en el manejo de información clasificada de los EE. UU, ni tienen ninguna obligación legal de hacerlo. La información no fue compartida con ningún tercero.
• Contrariamente a las informaciones publicadas en varios medios de comunicación, no se ha encontrado evidencia de que los analistas de Kaspersky Lab hayan intentado emitir firmas «silenciosas» para buscar documentos con palabras como «alto secreto» y «clasificado» y otras palabras similares.
• La infección del backdoor Mokes y las posibles infecciones de otro malware no relacionado con Equation apuntan a la posibilidad de que un número desconocido de terceros haya podido acceder a los datos de este usuario en concreto como resultado del acceso remoto al ordenador.
• Como empresa completamente transparente, Kaspersky Lab puede proporcionar detalles adicionales de la investigación a entidades gubernamentales así como a clientes preocupados a la luz de los últimos informes de los medios.