Weitere Ergebnisse einer internen Untersuchung zum Quellcode der Equation APT veröffentlicht

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: Kaspersky Lab
Veröffentlicht von SecuPedia-Redaktion am 16. November 2017.

Moskau/lngolstadt, 16.11.2017 - Anfang Oktober 2017 wurde im Wall Street Journal ein Artikel mit dem Vorwurf veröffentlicht, dass über Software von Kaspersky Lab als vertraulich eingestufte Daten von einem privaten Rechner eines NSA-Mitarbeiters geladen wurden. Kaspersky Lab hat dazu eine interne Untersuchung [1] durchgeführt, um Fakten zu sammeln und jegliche Bedenken zu adressieren.

Bereits am 25. Oktober 2017 wurden erste, vorläufige Ergebnisse der Untersuchung veröffentlicht [2] – darunter allgemeine Erkenntnisse der unternehmensinternen Suche nach Beweisen für die in den Medien geäußerten Vorwürfe. Der heute veröffentlichte neue Bericht bestätigt die vorläufigen Ergebnisse und gibt zusätzliche Einblicke der telemetrischen Analyse des Vorfalls durch Kaspersky-Produkte. Demnach lassen sich auf dem betroffenen Rechner verdächtige Aktivitäten feststellen, und zwar im Zeitraum des Vorfalls im Jahr 2014.

Die Untersuchung habe keine weiteren Vorfälle in den Jahren 2015, 2016 und 2017 zu Tage gebracht. Mit Ausnahme von Duqu 2.0 gebe es bis heute keine Erkenntnisse über Eindringversuche von Dritten in das Netzwerk von Kaspersky Lab, teilte das Unternehmen mit.

Um die Objektivität der internen Untersuchung zu unterstreichen und mögliche Vorwürfe der Beeinflussung im Vorfeld auszuräumen, seien zahlreiche Analysten hinzugezogen worden. Darunter befinden sich auch Analysten, welche nicht aus Russland stammen und außerhalb von Russland tätig sind.
 

Weitere Erkenntnisse

Kaspersky Lab: „Schon früh wurde klar, dass der infrage kommende PC mit dem ,Mokes Backdoor‘ [3.1; 3.2] (auch ,Smoke Bot‘ oder ,Smoke Loader‘ genannt) infiziert war. Diese Malware ermöglicht es, schädliche Operationen aus der Ferne auf dem Rechner durchzuführen. Im Rahmen ihrer Untersuchung haben die Kaspersky-Experten das Backdoor genauer unter die Lupe genommen und weitere telemetrische Daten ohne Bezug zu Equation, die von diesem Rechner aus gesendet wurden, ausgewertet.“ Die Untersuchungen haben nach eigenen Angaben gezeigt, „dass im Zeitraum von September bis November 2014 die Command-and-Control-Server dieser Malware vermutlich von einer chinesischen Einheit unter dem Namen ,Zhou Lou‘ registriert wurden. Darüber hinaus zeigte eine tiefere Analyse der Telemetrie von Kaspersky Lab, dass das ,Mokes Backdoor‘ möglicherweise nicht die einzige Malware war, die zum Zeitpunkt des Vorfalls den fraglichen PC infizierte, da andere illegale Aktivierungstools und Keygens auf demselben Computer erkannt wurden.“
 

Weitere Nicht-Equation-Malware

Über einen Zeitraum von zwei Monaten meldete das Produkt Alarm für 121 Stücke von Malware-Varianten, die nicht der Equation-Malware zugeordnet werden können: Backdoors, Exploits, Trojaner und AdWare. All diese Warnungen in Kombination mit der begrenzten Menge an verfügbaren telemetrischen Daten bedeuten, dass Kaspersky Lab zwar feststellen kann, dass das Produkt die Bedrohungen erkannt hat, es jedoch unmöglich festzustellen ist, ob die Bedrohungen während des Zeitraums ausgeführt wurden, in dem das Produkt deaktiviert wurde.

Kaspersky Lab untersucht weiterhin die anderen gefährlichen Samples. Weitere Ergebnisse werden veröffentlicht, sobald die Analyse abgeschlossen ist.
 

Schlussfolgerungen

Die allgemeinen Schlussfolgerungen der Untersuchung lauten wie folgt:

  • Die Software von Kaspersky Lab funktionierte wie erwartet und benachrichtigte die Kaspersky-Analysten über Signaturen, die zur Erkennung der bereits seit sechs Monaten untersuchten Malware der Equation APT Group geschrieben wurden. Dies alles geschah im Einverständnis mit der Beschreibung der ausgewiesenen Produktfunktionalität, Szenarien sowie den rechtgültigen Dokumente, denen der Nutzer vor der Installation der Software zugestimmt hat.
  • Was als potentiell vertraulich eingestufte Information gilt, wurde zurückgehalten, weil es in einem Archiv enthalten war, das auf eine Equation-spezifische APT-Malware-Signatur abzielte.
  • Neben Malware enthielt das Archiv dem Anschein nach auch Quellcode für die Equation APT Malware und vier Word-Dokumente mit Klassifizierungsmarkierungen. Kaspersky Lab besitzt keine Informationen über den Inhalt der Dokumente, da diese innerhalb weniger Tage gelöscht wurden.
  • Kaspersky Lab kann nicht einschätzen, ob die Daten (den US-Regierungsnormen entsprechend) „angemessen behandelt“ wurden, da die Analysten weder auf die Handhabung vertraulicher US-Dokumenten geschult wurden, noch gesetzlich dazu verpflichtet sind. Die Informationen wurden nicht an Dritte weitergegeben.
  • Entgegen mehrfachen Medienveröffentlichungen wurden keine Beweise dafür gefunden, dass Kaspersky-Forscher jemals versucht haben, „stille“ Signaturen zu erstellen, die darauf abzielen, nach Dokumenten mit Wörtern wie „streng geheim“, „vertraulich“ oder ähnlichen Begriffen zu suchen.
  • Die Backdoor-Infektion von Mokes und mögliche Infektionen anderer Nicht-Equation-Malware weisen auf die Möglichkeit hin, dass Nutzerdaten infolge eines Remotezugriffs auf den Computer, an eine unbekannte Anzahl von Dritten weitergegeben worden sein könnten.
  •  

Die komplette Untersuchung ist hier abrufbar:
Eine technische Analyse des Mokes-Backdoors ist hier verfügbar.

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Sicherheitstechnik/Produktmeldungen/Firmenmeldungen

Benutzergruppe

  • Alle Benutzer


Anzeigen