Версия для печати
Понедельник, 30 Октябрь 2017 08:22

Предварительные результаты внутреннего расследования инцидента, о котором сообщали американские СМИ

В октябре 2017 года «Лаборатория Касперского» инициировала тщательный анализ своих телеметрических данных в связи с заявлениями СМИ об инциденте, якобы произошедшем в 2015 году.

Компании было известно только об одном подобном инциденте, он, однако, произошел в 2014 году во время расследования целевой атаки Equation. Тогда системы детектирования «Лаборатории Касперского» обнаружили файлы, которые, предположительно, являлись отладочными вариантами имплантов Equation group, а также содержали их исходные коды. Сейчас компания дополнительно проверила, происходили ли другие аналогичные инциденты. Также мы провели расследование относительно того, случались ли вторжения третьих лиц в нашу корпоративную сеть, помимо Duqu 2.0, во время описанного в СМИ инцидента 2015 года.

Мы провели тщательное расследование случая 2014 года, и его предварительные результаты таковы.

  • При расследовании АРТ-атаки Equation мы наблюдали заражения по всему миру, в общей сложности более чем в 40 странах.
  • Некоторые из этих заражений были в США.
  • В рабочем порядке «Лаборатория Касперского» регулярно сообщала соответствующим государственным органам США о целевых атаках, зафиксированных нами в стране.
  • Одно из зараженных в США устройств содержало файлы, которые оказались ранее неизвестной отладочной версией вредоносного ПО, используемого группой Equation.
  • На компьютере, на котором были обнаружены новые образцы Equation, был установлен один из наших продуктов для домашних пользователей. На нем была активирована облачная система KSN и автоматическая отправка неизвестных подозрительных файлов в облачную инфраструктуру «Лаборатории Касперского».
  • Первое обнаружение упомянутого выше вредоносного ПО Equation произошло 11 сентября 2014 года. Был обнаружен следующий образец:

 - 44006165AABF2C39063A419BC73D790D
 - mpdkg32.dll
 - Вредонос был определен как HEUR:Trojan.Win32.GrayFish.gen

  • Судя по всему, пользователь, у которого было зафиксировано это заражение, скачал и запустил пиратское ПО — генератор ключей (кейген) для Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4 — больше информации можно узнать на Virus Total), который содержал вредоносный код. Решения «Лаборатории Касперского» определяли вредонос как Backdoor.Win32.Mokes.hvl.
  • Вредоносный файл был обнаружен в папке под названием Office-2013-PPVL-x64-en-US-Oct2013.iso. Вероятно, это был ISO-образ, смонтированный как виртуальный диск или папка.
  • Продукты «Лаборатории Касперского» обнаруживают Backdoor.Win32.Mokes.hvl (тот самый фальшивый кейген) с 2013 года.
  • На упомянутом устройстве этот вредоносный кейген был впервые обнаружен 4 октября 2014 года.
  • Чтобы запустить кейген, пользователь отключил решение «Лаборатории Касперского». Телеметрия не позволяет нам определить, когда именно это произошло, однако тот факт, что позднее генератор ключей был все же обнаружен в системе, позволяет предположить, что во время его запуска антивирус был отключен. Запуск кейгена просто не был бы возможен при включенном антивирусе.
  • Компьютер был заражен этим вредоносным ПО некоторое время, пока защитный продукт был отключен. Вредонос оказался полномасштабным бэкдором, который позволял третьим лицам получить доступ к устройству пользователя.
  • Позднее пользователь снова включил антивирус, который обнаружил вредонос (Backdoor.Win32.Mokes.hvl) и заблокировал его дальнейшую работу.
  • После заражения этим бэкдором пользователь несколько раз просканировал компьютер, что позволило обнаружить на нем новые, ранее неизвестные образцы вредоносного ПО Equation.
  • Последний детект на этом компьютере произошел 17 ноября 2014 года.
  • Один из файлов, который решение «Лаборатории Касперского» определило как модификацию вредоносного ПО Equation, был 7zip-архивом.
  • Архив был классифицирован как вредоносный и передан эксперту «Лаборатории Касперского» для анализа. Аналитик обнаружил, что архив содержал несколько образцов вредоносного ПО и исходный код Equation.
  • После обнаружения этих данных аналитик сообщил об инциденте генеральному директору компании. По запросу последнего архив был удален из систем компании. Его не передавали третьим лицам.
  • В 2015 коду от этого пользователя больше не поступало информации о срабатывании защитных продуктов «Лаборатории Касперского».
  • В феврале 2015 года мы рассказали о расследовании Equation. После этого в том же диапазоне IP-адресов, в котором было зарегистрировано срабатывание на вредоносный архив, было обнаружено несколько других зараженных пользователей с включенным KSN. Судя по всему, они служили так называемыми «ханипотами», или приманками: на каждом из них обнаружились многочисленные образцы кода, так или иначе относящегося к Equation. При этом ни одного необычного (не исполняемого) образца детектировано не было, поэтому они были обработаны в обычном порядке.
  • В ходе расследования мы не обнаружили других подобных инцидентов ни в 2015, ни в 2016 или 2017 годах.
  • Мы не обнаружили иных вторжений третьих лиц в корпоративную сеть «Лаборатории Касперского», кроме Duqu 2.0.
  • Расследование подтвердило, что «Лаборатория Касперского» никогда не применяла в своих решениях правил обнаружения не-вредоносных файлов по ключевым словам «совершенно секретно» или «засекречено».

Описанное выше — наиболее точный анализ инцидента 2014 года. Расследование еще продолжается, компания предоставит дополнительные технические данные, как только они станут доступны. «Лаборатория Касперского» планирует раскрыть всю информацию об этом инциденте, включая технические детали, для независимой проверки внешними экспертами в рамках глобальной инициативы по информационной открытости (Global Transparency Initiative).

Похожие материалы (по тегу)