Kaspersky revela como ferramentas usadas pela NSA foram roubadas
Entenda como hackers roubaram ferramentas usadas pela NSA
Em um novo relatório, os investigadores da Kaspersky Lab revelaram suas descobertas após uma investigação interna, que foi lançada logo após serem acusados de terem ligações com o programa de espionagem russo, pois o laptop de um contratado da NSA que foi hackeado possuía o antivírus da Kaspersky.
A Kaspersky iniciou a investigação e logo descobriu que o laptop do contratante havia sido infectado por um malware. A empresa foi acusada de ajudar a inteligência cibernética russa a roubar as ferramentas de invasão da NSA. Os resultados obtidos foram divulgados no relatório.
O foco da investigação da Kaspersky foi o laptop do contratado da NSA, o sistema operacional do contratado foi conectado a diversas assinaturas de malwares que possuem ligações ao Equation Group, grupo que supostamente tem forte envolvimento com a própria NSA.
Entretanto os investigadores da Kaspersky detectaram que o laptop do contratado da NSA foi infectado no dia 4 de outubro de 2014 por algum atacante externo, esse é mesmo período que os investigadores acreditam que as ferramentas de hackers da NSA foram roubadas.
Se realmente as informações forem verdadeiras, o incidente pode ter ocorrido entre 11 de Setembro de 2014 e 17 de novembro de 2014.
Porém as analises não conseguiram encaixar com as informações já adquiridas de que o hack teria ocorrido em 2015.
Também é alegado que o computador já estava infectado com um programa malicioso, uma backdoor presente em um documento.
A Kaspersky também observou que o seu antivírus havia bloqueado algumas tentativas do backdoor de se conectar a domínios suspeitos, pois o sistema efetuou o download de outro software questionável que foi responsável por acionar 121 alertas.
Tais alertas foram acionados entre 11 de setembro e 17 de novembro de 2017. Isso também indicou que o computador poderia estar infectado com outros malwares que o software antivírus da Kaspersky não pode detectar.
“Dado o possível nível de liberação do proprietário do sistema, o usuário poderia ter sido o principal alvo dos ataques de estados-nações. Adicionando aparentemente a necessidade do usuário por utilizar versões crackeadas do Windows e do Office, as más praticas no manuseio de arquivos confidenciais, é possível que o usuário tenha vazado informações para muitas mãos.”, revela o relatório.
De acordo com os investigadores da Kaspersky, o malware do Equation Group foi detectado pelo seu antivírus em Setembro de 2014 em um arquivo 7zip, que foi salvo no computador do contratado.
Esse malware em questão foi baixado nos servidores da Kaspersky porém para analise apenas os binários do arquivo foram mantidos, os arquivos restantes incluindo o código fonte e algumas informações confidenciais foram coletadas e deletadas.
“A razão para qual deletamos esses arquivos e iremos deletar arquivos similares no futuro são duas…”
Os investigadores informaram que não precisam de nada além dos binários do malware para melhorar sua ferramenta de proteção para seus clientes, em segundo lugar devido a preocupação de lidar com materiais confidenciais.
Assumindo que as marcações eram reais, não poderia nem seriam consumidas para produzir uma assinatura de detecção baseada em descrições.
O fornecedor do antivírus negou que o seu software poderia estar enviando informações para espiões da Rússia, já que partes externas não podem falsificar o sistema sem serem detectadas por terceiros, pois seus produtos utilizam um sistema de assinaturas seguro.
Todas as informações são registradas e possuem históricos e banco de dados internos.
De acordo com a investigação, entre 2014 e 2016, os pesquisadores que trabalham na Equation não possuem o direito de assinar assinaturas diretamente, sem que isso seja verificado por um desenvolvedor de assinaturas experiente.
“Se houvesse uma intenção duvidosa nas assinaturas durante a busca por amostras do Equation Group, isso teria sido questionado e relatado por um desenvolvedor de assinatura principal”, afirmou o Kaspersky em seu relatório.
É evidente que o relatório da Kaspersky é a tentativa da empresa de contestar as alegações de que ajudou espiões russos a invadir o laptop do contratado.
É importante que o Kaspersky forneça alguns argumentos válidos em sua defesa para salvar seu futuro no mercado de tecnologia dos EUA.