Kaspersky говорит, что инструменты взлома АНБ, полученные после обнаружения вредоносного ПО

(Изображение: файл фото)

Касперский признал, что код, принадлежащий Агентству национальной безопасности США (АНБ), был снят с ПК для анализа, но настаивает, что кража не была преднамеренной.

В октябре репортаж из The Wall Street Journal утверждал, что в 2015 году российская фирма напала на сотрудника АНБ, известного тем, что работал над инструментами и программным обеспечением для взлома спецслужб.

История предполагает, что неназванный сотрудник забрал секретные материалы домой и работал на своем ПК, на котором работало антивирусное программное обеспечение Касперского. Как только эти секретные файлы были идентифицированы - через проспект, вырезанный антивирусом - российское правительство смогло получить эту информацию.

Касперский имеет отрицал какие-либо правонарушения Но утверждения о том, что фирма работала тайно с российским правительством, было достаточно, чтобы гарантировать, что продукты Касперского были запрещено в федеральных сетях ,

Был количество теорий в отношении того, что на самом деле имело место: был ли Kaspersky преднамеренно нацелен на сотрудников АНБ от имени Кремля, использовал ли субъект внешней угрозы уязвимость нулевого дня в антивирусе Касперского, или файлы были обнаружены и извлечены случайно?

По словам Касперского, последнее верно.

В среду московская фирма заявила, что результаты предварительного расследования подготовили приблизительный график того, как произошел инцидент.

Смотрите также: Плохой Кролик-вымогатель: новый вариант Пети распространяется, предупреждают исследователи

Фактически, это было на год раньше, чем Журнал полагал, что в 2014 году был взят код, принадлежащий Equation Group АНБ.

Касперский говорит, что компания занималась расследованием Advanced Persistent Threat (APT), и когда по следу Equation Group подсистемы обнаружения «обнаружили то, что казалось файлами исходного кода вредоносных программ Equation».

В то время в мире было более 40 активных инфекций, но одна из «инфекций» в США «заключалась в том, что это были новые, неизвестные и отлаженные варианты вредоносных программ, используемых группой Equation».

Антивирус Касперского обнаружил образец на домашнем компьютере, который имел Сеть безопасности Касперского (KSN) - система, которая автоматически собирает данные об угрозах и отправляет их в облако.

Компания утверждает, что данный пользователь установил пиратское программное обеспечение на свой компьютер, так как присутствовали нелегальные ключи Microsoft Office.

Похоже, произошло то, что антивирус был отключен во время использования кейгена - обычная практика для тех, кто использует нелегальное программное обеспечение для «проверки» пиратских копий - но кейген был заражен вредоносным ПО, известным как Backdoor.Win32. Mokes.hvl.

(Вредоносным ПО был троян с полными возможностями бэкдора, и также может быть предположение, что этот бэкдор мог быть использован другими для нацеливания на сотрудника.)

Позже, хотя точные временные рамки не были указаны, антивирус был включен, а вредоносная программа была заблокирована. Затем пользователь выполнил несколько сканирований, чтобы удалить трояна, который также попал в группу инструментов взлома группы Equation.

«Одним из файлов, обнаруженных продуктом как новые варианты вредоносного ПО Equation APT, был 7zip-архив», - говорит Касперский. «Сам архив был обнаружен как вредоносный и передан в« Лабораторию Касперского »для анализа, где он был обработан одним из аналитиков».

«После обработки в архиве было обнаружено несколько образцов вредоносных программ и исходный код для того, что казалось вредоносным программным обеспечением Equation», - добавила компания.

Соответствующий аналитик, получивший файлы, затем сообщил о результатах генеральному директору Касперского Евгению Касперскому, который попросил удалить архив из систем компании.

Касперский говорит, что образцы не были переданы третьим лицам, хотя отчет New York Times утверждает, что израильские разведчики взломали сеть фирмы в 2014 году и обнаружили, что российские хакеры используют программное обеспечение Kaspersky, чтобы «превратить [это] в своего рода поиск в Google для получения конфиденциальной информации».

Компания говорит, что это единственный инцидент такого рода, и хотя с тех пор, как были получены образцы, связанные с уравнением, обнаружены «приманочные» ПК, обнаружение «не обрабатывалось каким-либо особым образом».

Касперский надеется, что публичное раскрытие инцидента - по крайней мере, некоторые детали - может способствовать цели компании по восстановлению доверие потребителей, бизнеса и правительства ,

Охранная фирма утверждает, что расследование «подтвердило, что« Лаборатория Касперского »никогда не обнаруживала в своих продуктах невооруженные (не вредоносные) документы по ключевым словам, таким как« совершенно секретно »и« засекречено ».

Интересно, однако, что согласно телефонному интервью между ABC News и Kaspersky , что файлы были удалены, так как аналитики знали, что информация была засекречена.

Касперский сказал, что политика компании теперь диктует, что конфиденциальная информация, взломанная сканерами и антивирусом, не будет храниться.

«Если мы увидим конфиденциальную или секретную информацию, она будет немедленно удалена, и это именно то, что произошло в этом случае», - сказал генеральный директор публикации.

Кроме того, руководитель «Касперского» не раскрывает, был ли АНБ проинформирован о результатах в то время.

«Мы считаем, что вышеизложенное является точным анализом этого инцидента с 2014 года», - говорится в сообщении компании. «Расследование все еще продолжается, и компания предоставит дополнительную техническую информацию по мере ее появления. Мы планируем передать полную информацию об этом инциденте, включая все технические детали, доверенной третьей стороне».

Связанные истории