2017/11/16

Kaspersky esclarece acusações de espionagem


A Kaspersky tem estado na mira de acusações de roubo de material secreto e a ser alvo de uma grande campanha que visa anular a confiança conquistada ao longo dos anos, mas a publicação dos resultados da investigação realizada podem ajudar a perceber o que realmente se terá passado.

O caso em questão remonta ao ano de 2014, com a acusação de que o software da Kaspersky teria sido utilizado para roubar dados secretos de um computador pessoal de um colaborador da NSA. Sendo uma empresa russa, facilmente se imagina a polémica que isto gerou, ao ponto do Governo dos EUA estar a proibir a utilização de software da Kaspersky em todos os computadores relacionados com serviços governamentais.

Do lado da Kaspersky foi iniciada uma investigação interna, integrando investigadores de diferentes nacionalizados e localizados em diversos países, para evitar novas acusações, e os resultados finais comprovam o relato inicial que descreve aquilo que se terá passado:

  1. A 11 de setembro de 2014, um produto da Kaspersky Lab instalado num computador de um utilizador localizado nos EUA detetou uma infeção do que aparentava ser uma variante do malware utilizado pelo grupo Equation APT – um ator de ciberameaças sofisticado cuja atividade já havia estado sob investigação ativa desde março de 2014.
  2. Algum tempo depois, o utilizador parece ter descarregado e instalado um software pirata no seu computador, nomeadamente um ficheiro ISO do Microsoft Office e uma ferramenta de ativação ilegal do Microsoft Office 2013 (também conhecido como “keygen”).
  3. Para instalar a cópia pirata do Office 2013, o utilizador aparenta ter desativado o produto da Kaspersky Lab do seu computador, uma vez que a execução da ferramenta ilegal não teria sido possível com o antivírus ligado.
  4. A ferramenta de ativação ilegal contida no ISO do Office foi infetada com malware. O utilizador foi infetado com este malware por um período indeterminado de tempo enquanto o produto da Kaspersky Lab estava inativo. O malware consistia numa backdoor que poderia ter permitido o acesso de terceiros ao computador.
  5. Quando reativado, o produto da Kaspersky Lab detetou o malware como Backdoor.Win32.Mokes.hvl e bloqueou-o para que não contactasse com o servidor de controlo e comando. A primeira deteção do programa malicioso ocorreu a 4 de outubro de 2014.
  6. Para além disso, o produto detetou também variantes novas e outras já conhecidas do malware Equation APT.
  7. Um dos arquivos detetados pelo produto, como novas variantes do malware Equation APT, foi um arquivo 7zip. O mesmo arquivo foi enviado de volta para o Kaspersky Virus Lab para posterior análise, de acordo com a licença KSN e do utilizador final.
  8. Após análises, foi descoberto que o arquivo continha vários ficheiros, incluindo ferramentas conhecidas e desconhecidas do grupo Equation, o código fonte e documentos classificados. O investigador reportou o incidente ao CEO. Após um pedido do CEO, o arquivo, o código fonte e qualquer dado aparentemente classificado foi eliminado dos sistemas da empresa num espaço de dias. Apenas o malware binário foi armazenado, para análise e classificação, tal como é feito com todo o malware que é detetado. O arquivo não foi partilhado com terceiros.
  9. As duas razões pelas quais a Kaspersky Lab eliminou esses arquivos e eliminará ficheiros semelhantes no futuro são: em primeiro lugar, a empresa necessita apenas do malware para melhorar a sua proteção e, em segundo lugar, preocupa-se com a utilização do material potencialmente confidencial.
  10. Devido a este incidente, uma nova política foi criada para todos os investigadores de malware: são agora obrigados a eliminar qualquer material potencialmente classificado que tenha sido recolhido acidentalmente durante qualquer investigação anti-malware.
  11. A investigação não revelou nenhum incidente semelhante em 2015, 2016 ou 2017.

Também não foi encontrada nenhuma prova de que o software da Kaspersky tentasse procurar expressamente documentos com palavras como “top secret” e “classificado” ou outras palavras semelhantes, para os enviar para a base - como foi noticiado por alguns sites.

... Enfim, parece que a NSA melhor faria em educar os seus colaboradores para que não colocassem material secreto em computadores onde também usam software pirateado e keygens... ou no mínimo, que não desactivassem o software de anti-virus que tinham instalado e que poderia ter evitado as infecções pelo dito malware. :P

5 comentários:

  1. Se um utilizador normal consegue desativar o anti-vírus sem necessidade de permissão por parte de alguém com maior responsabilidade na rede informática, é porque essa rede informática está a ser mal gerida.

    ResponderEliminar
    Respostas
    1. Era o computador pessoal dele.

      Eliminar
    2. Ups... Tenho que ler melhor os textos antes de comentar...

      Eliminar
  2. Este comentário foi removido pelo autor.

    ResponderEliminar
  3. Resumindo - concluiu-se que a Kaspersky saca ficheiros dos computadores sem os utilizadores darem por isso.
    Se é por bons motivos - analisar os ficheiros em busca de malware, ou por maus motivos - espiar o conteúdo dos ficheiros, não é bem a questão central.
    A questão é: a Kaspersky pergunta claramente ao utilizador (não é na EULA que ninguém lê) se pode fazer o upload do ficheiro para análise?

    P.S. Confesso que já não lido com vírus/ anti-vírus há bastante tempo, não sei se perguntam ou não.

    ResponderEliminar