Kaspersky alega que funcionário da NSA foi infectado por keygen do Office 2013

Há alguns meses o governo americano alegou que em 2014 a Kaspersky espionou e roubou arquivos do computador de um funcionário da NSA através do seu antivírus, algo que foi completamente negado pela empresa.

E mesmo sem prova alguma, o FBI sugeriu que empresas deixem de utilizar produtos da Kaspersky.

A Kaspersky então fez uma revisão dos registros de telemetria dos incidentes reportados na mídia, e publicou os registros preliminares dessa investigação interna, publicando os resultados em detalhes aqui.

De acordo com os registros da telemetria da Kaspersky, este é um resumo do que aconteceu:

A primeira detecção de malware Equation nesse incidente foi dia 11/Set/2014 com a amostra 44006165AABF2C39063A419BC73D790D e arquivo mpdkg32.dll, que foi detectado como Trojan.Win32.GrayFish.gen O usuário baixou e instalou o Office 2013 pirata Office-2013-PPVL-x64-en-US-Oct2013.iso e utilizou um gerador de chave de ativação ilegal do Microsoft Office (keygen) com md5 a82c0575f214bdc7c8ef5a06116cd2a4 (veja análise dele no VirusTotal) que foi detectado como trojan Win32.Mokes.hvl pelo antivírus da Kaspersky que o usuário estava utilizando. Como o antivírus impediu a instalação do keygen, o usuário desabilitou o antivírus e instalou o keygen, que tinha um backdoor que permitia acesso remoto ao seus arquivos. O usuário então reativou o antivírus, que detectou o keygen como Win32.Mokes.hvl e bloqueou o malware. Depois que o usuário notou que havia sido infectado, ele realizou vários escaneamentos no computador e o antivírus da Kaspersky detectou ali variantes novas e desconhecidas do malware Equation APT. Kaspersky alega que funcionário da NSA foi infectado por keygen do Office 2013

Este é uma tradução livre do artigo original publicado pela Kaspersky (com link adicionado por nós sobre o Duqu 2.0):

Kaspersky alega que funcionário da NSA foi infectado por keygen do Office 2013 Baboo - Tecnologia e Ciência

Em outubro de 2017, a Kaspersky Lab iniciou uma revisão completa de nossos registros de telemetria em relação aos supostos incidentes de 2015 descritos na mídia.

Nós estávamos cientes apenas de um único incidente que aconteceu em 2014 durante uma investigação da APT quando nossos subsistemas de detecção pegaram o que parecia ser arquivos de código-fonte do malware Equation e decidimos verificar se houveram incidentes semelhantes. Além disso, decidimos investigar se houve outros intrusos em nossos sistemas, além do Duqu 2.0 identificado no incidente de 2015.

Realizamos uma investigação profunda associada ao caso a partir de 2014 e os resultados preliminares desta investigação revelaram o seguinte:

Durante a investigação da Equation APT (Advanced Persistent Threat), observamos infecções de todo o mundo, em mais de 40 países. Algumas dessas infecções foram observadas nos EUA. Como um procedimento de rotina, a Kaspersky Lab vem informando as instituições relevantes do governo dos EUA sobre infecções APT ativas nos EUA. Uma das infecções nos EUA aparentemente incluia novas e desconhecidas versões do malware usadas pelo grupo Equation. O incidente em que novas amostras do malware da Equation foi detectado pelo nosso antivírus para uso doméstico que tinha o KSN habilitado e o envio automático de amostras de malware desconhecido também ativado. A primeira detecção de malware Equation neste incidente foi em 11 de setembro de 2014. A seguinte amostra foi detectada:
44006165AABF2C39063A419BC73D790D
mpdkg32.dll
Veredicto: HEUR: Trojan.Win32.GrayFish.gen Após essas detecções, o usuário parece ter baixado e instalado o software pirateado em suas máquinas, conforme indicado por um gerador de chave de ativação ilegal do Microsoft Office (também conhecido como “keygen”) (md5: a82c0575f214bdc7c8ef5a06116cd2a4 – veja este link do VirusTotal) que era um malware detectado pelos produtos da Kaspersky Lab como Win32.Mokes.hvl. O malware foi detectado dentro de uma pasta chamada “Office-2013-PPVL-x64-en-US-Oct2013.iso”. Isso sugere uma imagem ISO montada no sistema como uma unidade / pasta virtual. A detecção do Backdoor.Win32.Mokes.hvl (o falso keygen) está disponível nos produtos da Kaspersky Lab desde 2013. A primeira detecção do keygen malicioso (falso) nesta máquina foi em 4 de outubro de 2014. Para instalar e executar este keygen, o usuário parece ter desabilitado os produtos Kaspersky em sua máquina. Nossa telemetria não nos permite dizer quando o antivírus foi desativado, mas o fato que o keygen foi detectado posteriormente em funcionamento no computador indica que o antivírus foi desativado ou não não estava habilitado quando o keygen foi executado. O keygen não seria executado se o antivírus estivesse habilitado. O computador manteve-se infectado por um período não especificado enquanto o antivírus estava desabilitado. O malware instalado pelo keygen era um backdoor completo que pode ter permitido o acesso de terceiros à máquina do usuário. Mais tarde o usuário reativou o antivírus, o malware foi devidamente detectado (veredicto: ” Win32.Mokes.hvl “) e bloqueado. Depois que o usuário notou que havia sido infectado, ele realizou vários escaneamentos no computador e o antivírus da Kaspersky detectou ali variantes novas e desconhecidas do malware Equation APT. A última detecção desta máquina foi em 17 de novembro de 2014. Um dos arquivos detectados pelo antivírus como novas variantes do malware da Equation APT foi um arquivo 7-zip. O próprio arquivo foi detectado como malicioso e submetido à Kaspersky Lab para análise, onde foi processado por um dos analistas. Após o processamento, concluiu-se que o arquivo continha várias amostras de malware e código-fonte que aparentemente era do malware Equation. Depois de descobrir o código-fonte suspeito do malware da Equation, o analista informou o incidente ao CEO. Após um pedido do CEO, o arquivo foi excluído de todos os nossos sistemas e não foi compartilhado com terceiros. Nenhuma detecção adicional foi recebida deste usuário em 2015. Após o nosso anúncio de Equação de fevereiro de 2015, vários outros usuários com o KSN habilitado apareceram na mesma faixa de IP que a detecção original. Estes parecem ter sido configurados como “honeypots”, aonde cada computador tinha várias amostras relacionadas à Equation. Nenhuma amostra incomum (não executável) foi detectada e enviada a partir desses “honeypots” e as detecções não foram processadas de forma especial. A investigação não revelou outros incidentes relacionados em 2015, 2016 ou 2017. Nenhuma outra intrusão de terceiros, além do Duqu 2.0, foi detectada nas redes da Kaspersky Lab. A investigação confirmou que a Kaspersky Lab nunca criou uma detecção específica para documentos importantes com base em palavras-chave como “top secret” e “classificado”.

Acreditamos que o acima é uma análise precisa deste incidente a partir de 2014. A investigação ainda está em andamento e a empresa fornecerá informações técnicas adicionais à medida que elas se tornem disponíveis.

Estamos planejando compartilhar informações completas sobre esse incidente, incluindo todos os detalhes técnicos com um terceiro confiável como parte de nossa Iniciativa de Transparência Global para verificação cruzada.