Хакер #305. Многошаговые SQL-инъекции
В начале октября 2017 года издания The Wall Street Journal и The Washington Post, ссылаясь на собственные источники, сообщили, что «Антивирус Касперского» использовался для кражи неких секретных данных АНБ. Сообщалось, что в 2015 году неназванный сотрудник спецслужб загрузил секретную информацию на свой домашний компьютер, где было установлено антивирусное решение «Лаборатории Касперского», благодаря чему эти данные в итоге были похищены. В своих статьях издания предполагают, что ПО компании было намерено модифицировано российскими спецслужбами.
Чуть позже, тоже в начале текущего месяца, The New York Times и The Washington Post сообщили, что информация о причастности антивирусного производителя к хищению данных АНБ поступила от израильских спецслужб. Якобы в 2015 году израильские хакеры взломали «Лабораторию Касперского» и обнаружили принадлежащую АНБ информацию (некие «хакерские инструменты») во внутренней сети компании.
Разумеется, все это время компания в целом и Евгений Касперский лично отрицали все обвинения журналистов, в очередной раз подчеркивая, что «Лаборатория Касперского» никогда не помогала и не будет помогать ни одному государству в мире, включая Россию, шпионить за своими пользователями.
«Все публикации, содержащие обратные утверждения, ссылаются исключительно на анонимные источники, и не дают никакой верифицируемой информации, которую “Лаборатория Касперского” могла бы использовать для внутреннего расследования. Никаких официальных обвинений в адрес компании не поступало. За 20 лет своей истории “Лаборатория Касперского” ни разу не сталкивалась с аргументированными обвинениями в нарушении закона или этических стандартов», — гласит официальное заявление компании.
Вчера, 25 октября 2017 года, «Лаборатория Касперского» опубликовала предварительные результаты внутреннего расследования инцидента, о котором писали американские СМИ.
Отчет гласит, что компания инициировала тщательный анализ своих телеметрических данных, однако никаких инцидентов, похожих на описанные СМИ, в 2015 году не было. Сообщается, что компании известно лишь об одном похожем случае, который, однако, произошел в 2014 году во время расследования целевой атаки Equation. Тогда системы детектирования «Лаборатории Касперского» обнаружили файлы, которые, предположительно, являлись отладочными вариантами имплантов Equation group, а также содержали их исходные коды.
Сейчас компания дополнительно изучает, происходили ли другие аналогичные инциденты, а также проводится расследование относительно того, случались ли вторжения третьих лиц в корпоративную сеть компании, помимо Duqu 2.0, во время описанного в СМИ инцидента 2015 года.
Тщательное расследование случая 2014 года, дало следующие предварительные результаты, которые уместно будет привести полностью:
- При расследовании АРТ-атаки Equation мы наблюдали заражения по всему миру, в общей сложности более чем в 40 странах.
- Некоторые из этих заражений были в США.
- В рабочем порядке «Лаборатория Касперского» регулярно сообщала соответствующим государственным органам США о целевых атаках, зафиксированных нами в стране.
- Одно из зараженных в США устройств содержало файлы, которые оказались ранее неизвестной отладочной версией вредоносного ПО, используемого группой Equation.
- На компьютере, на котором были обнаружены новые образцы Equation, был установлен один из наших продуктов для домашних пользователей. На нем была активирована облачная система KSN и автоматическая отправка неизвестных подозрительных файлов в облачную инфраструктуру «Лаборатории Касперского».
- Первое обнаружение упомянутого выше вредоносного ПО Equation произошло 11 сентября 2014 года. Был обнаружен следующий образец:
- 44006165AABF2C39063A419BC73D790D
- mpdkg32.dll
- Вредонос был определен как HEUR:Trojan.Win32.GrayFish.gen
- Судя по всему, пользователь, у которого было зафиксировано это заражение, скачал и запустил пиратское ПО — генератор ключей (кейген) для Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4 — больше информации можно найти на Virus Total), который содержал вредоносный код. Решения «Лаборатории Касперского» определяли вредонос как Backdoor.Win32.Mokes.hvl.
- Вредоносный файл был обнаружен в папке под названием Office-2013-PPVL-x64-en-US-Oct2013.iso. Вероятно, это был ISO-образ, смонтированный как виртуальный диск или папка.
- Продукты «Лаборатории Касперского» обнаруживают Backdoor.Win32.Mokes.hvl (тот самый фальшивый кейген) с 2013 года.
- На упомянутом устройстве этот вредоносный кейген был впервые обнаружен 4 октября 2014 года.
- Чтобы запустить кейген, пользователь отключил решение «Лаборатории Касперского». Телеметрия не позволяет нам определить, когда именно это произошло, однако тот факт, что позднее генератор ключей был все же обнаружен в системе, позволяет предположить, что во время его запуска антивирус был отключен. Запуск кейгена просто не был бы возможен при включенном антивирусе.
- Компьютер был заражен этим вредоносным ПО некоторое время, пока защитный продукт был отключен. Вредонос оказался полномасштабным бэкдором, который позволял третьим лицам получить доступ к устройству пользователя.
- Позднее пользователь снова включил антивирус, который обнаружил вредонос (Backdoor.Win32.Mokes.hvl) и заблокировал его дальнейшую работу.
- После заражения этим бэкдором пользователь несколько раз просканировал компьютер, что позволило обнаружить на нем новые, ранее неизвестные образцы вредоносного ПО Equation.
- Последний детект на этом компьютере произошел 17 ноября 2014 года.
- Один из файлов, который решение «Лаборатории Касперского» определило как модификацию вредоносного ПО Equation, был 7zip-архивом.
- Архив был классифицирован как вредоносный и передан эксперту «Лаборатории Касперского» для анализа. Аналитик обнаружил, что архив содержал несколько образцов вредоносного ПО и исходный код Equation.
- После обнаружения этих данных аналитик сообщил об инциденте генеральному директору компании. По запросу последнего архив был удален из систем компании. Его не передавали третьим лицам.
- В 2015 коду от этого пользователя больше не поступало информации о срабатывании защитных продуктов «Лаборатории Касперского».
- В феврале 2015 года мы рассказали о расследовании Equation. После этого в том же диапазоне IP-адресов, в котором было зарегистрировано срабатывание на вредоносный архив, было обнаружено несколько других зараженных пользователей с включенным KSN. Судя по всему, они служили так называемыми «ханипотами», или приманками: на каждом из них обнаружились многочисленные образцы кода, так или иначе относящегося к Equation. При этом ни одного необычного (не исполняемого) образца детектировано не было, поэтому они были обработаны в обычном порядке.
- В ходе расследования мы не обнаружили других подобных инцидентов ни в 2015, ни в 2016 или 2017 годах.
- Мы не обнаружили иных вторжений третьих лиц в корпоративную сеть «Лаборатории Касперского», кроме Duqu 2.0.
- Расследование подтвердило, что «Лаборатория Касперского» никогда не применяла в своих решениях правил обнаружения не-вредоносных файлов по ключевым словам «совершенно секретно» или «засекречено».
В завершении отчета сообщается, что расследование еще продолжается, и компания представит на суд общественности все дополнительные технические данные, как только они станут доступны. «Лаборатория Касперского» заявляет, что раскроет всю информацию об этом инциденте, включая технические детали, для независимой проверки внешними экспертами в рамках глобальной инициативы по информационной открытости (Global Transparency Initiative).