Еще в конце октября 2017 года представители «Лаборатории Касперского» обнародовали предварительные результаты внутреннего расследования инцидента, о котором ранее в том месяце много писали американские СМИ.
Напомню, что тогда издания The Wall Street Journal, The Washington Post, The New York Times и другие обвинили «Лабораторию Касперского» в умышленной модификации своего ПО с целью хищения секретной информации американских спецслужб. Ссылаясь на собственные источники, журналисты сообщали, что в 2015 году неназванный сотрудник спецслужб загрузил секретную информацию на свой домашний компьютер, где было установлено антивирусное решение «Лаборатории Касперского», с помощью которого эти данные в итоге были похищены. В своих статьях издания высказывали предположения, что ПО компании было намеренно модифицировано российскими спецслужбами.
При этом сообщалось, что информация о причастности антивирусного производителя к хищению секретных данных АНБ поступила от израильских спецслужб. Якобы в 2015 году израильские хакеры взломали «Лабораторию Касперского» и обнаружили принадлежащую АНБ информацию (в том числе и некие «хакерские инструменты») во внутренней сети компании.
16 ноября 2017 года «Лаборатория Касперского» сообщила, что завершила внутреннее расследование инцидента и опубликовала полные результаты.
В целом новый отчет подтверждает предварительные выводы, обнародованные компанией еще в конце октября, хотя документ также содержит и новые факты. Выяснилось, что человек, с компьютера которого произошла утечка предположительно секретной информации, действительно пользовался антивирусным решением «Лаборатории Касперского», но регулярно отключал его, устанавливал весьма подозрительные с точки зрения безопасности программы, и на его машине был обнаружен целый «зоопарк» различных вредоносов. В итоге анализ телеметрии показал, что удаленный доступ к устройству этого пользователя могло иметь неизвестное количество третьих лиц.
В частности компьютер был заражен бэкдором Mokes, который позволяет злоумышленникам получить удаленный доступ к устройству. Mokes (также известный под названиями Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных андеграундных форумах в 2011 году. Исследование «Лаборатории Касперского» показало, что в период с сентября по ноябрь 2014 года управляющие серверы этого вредоноса были зарегистрированы на, предположительно, китайскую организацию под названием Zhou Lou.
Дальнейший анализ обнаружил, что Mokes мог быть не единственной малварью, заразившей указанный компьютер в период инцидента. Исследователи пишут, что за два указанных месяца защитное решение «Лаборатории Касперского», установленное на компьютере, сообщило о 121 образце вредоносного ПО, не относящемся к Equation. Среди них были бэкдоры, эксплоиты, трояны и рекламные программы.
Специалисты пишут, что учитывая ограниченное количество доступной телеметрии (напоминаю, что решение «Лаборатории Касперского» периодически отключалось пользователем), нельзя однозначно сказать, запускались ли обнаруженные вредоносы в период, относящийся к инциденту. Эксперты продолжают работать над изучением данного вопроса.
Итоговые выводы, представленные в финальном отчете, таковы:
«Защитное решение “Лаборатории Касперского” сработало ровно так, как и должно было сработать при обнаружении вредоносного кода. Оно уведомило аналитиков компании об угрозе на основании сигнатур ПО группировки Equation, деятельность которой на тот момент расследовалась уже шесть месяцев. Все эти действия соответствуют заявленной функциональности продукта, стандартным сценариям его работы и юридическим документам, согласие с которыми выражает пользователь перед установкой решения.
Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation.
Помимо вредоносных программ, указанный архив также содержал исходный код ПО группировки Equation и четыре текстовых документа с грифами секретности. “Лаборатория Касперского” не обладает какой-либо информацией о содержании этих документов, так как они были удалены после получения.
“Лаборатория Касперского” не может оценить, были ли соблюдены формальные процедуры обращения с секретными данными, соответствующие американскому законодательству. Эксперты компании не проходили инструктаж по обращению с засекреченными документами и не имеют юридических обязательств его проходить. При этом никакая информация из документов не передавалась третьим лицам.
В отличие от версии, озвученной в некоторых СМИ, не было найдено доказательств, что исследователи “Лаборатории Касперского” когда-либо пытались целенаправленно искать документы с пометками “совершенно секретно”, “засекречено” и другими аналогичными.
Заражение компьютера бэкдором Mokes и потенциальное заражение другим вредоносным ПО указывает на возможность того, что доступ к данным пользователя мог получить неизвестный круг третьих лиц».