פורסמו תוצאות ביניים של חקירה פנימית לגבי אירוע קוד המקור שנחשף במתקפת הריגול Equation
מאת: מערכת Telecom News, 22.11.17, 20:28

ממצאים חדשים מצביעים על אפשרות לגישה מצד מספר גורמים חיצוניים למחשב, שהכיל מידע מסווג. פירוט החקירה שלב אחר שלב.

בתחילת אוקטובר 2017 פורסמה בוול סטריט ג'ורנל כתבה המאשימה, שתוכנה של מעבדת קספרסקי שימשה כדי להוריד מידע מסווג ממחשב ביתי של עובד ב-NSA. בהינתן העובדה, שהחברה עומדת בחזית הלחימה בריגול ופשיעת סייבר במהלך 20 השנים האחרונות, טענות אלו טופלו ברצינות על ידה. כדי לאסוף עובדות ולטפל בכל חשש, שעלה מכתבה זו, ביצעה החברה חקירה פנימית בנושא.

תוצאות ראשוניות של החקירה פורסמו ב-25.10.17. הן הציגו ממצאים כלליים מהחיפושים, שביצעה החברה אחר עדויות לגבי הדיווחים בתקשורת. הדו"ח החדש מאמת את הממצאים הראשוניים ומספק תובנות נוספות מניתוח הטלמטריה של מוצרי החברה ביחס לאירוע המדווח. הטלמטריה מתארת פעילות חשודה, שנרשמה במחשב הנדון במהלך מסגרת הזמן של האירוע, שהתרחש בשנת 2014.

הרקע:
ב- 11 בספטמבר, 2014, מוצר מעבדת קספרסקי, שהותקן על מחשב של משתמש בארה"ב, דיווח על הדבקה ע"י מה שנראה כגרסה של קוד זדוני המשמש את קבוצת Equation APT - שחקן איום סייבר מתוחכם, שהפעילות שלו כבר הייתה בחקירה פעילה מאז מרץ 2014.
 
זמן מסוים לאחר מכן, נראה, שהמשתמש הוריד והתקין תוכנה פיראטית על המחשב – קובץ ISO של תוכנת אופיס של מיקרוסופט וכלי הפעלה בלתי חוקי של תוכנת אופיס 2013 (המוכר כ-Keygen).

כדי להתקין את העותק הפיראטי של אופיס 2013, נראה, שהמשתמש ניטרל את מוצר מעבדת קספרסקי, שהותקן במחשב שלו, מכיוון שהפעלה של הכלי הבלתי חוקי לא הייתה מתאפשרת כשהאנטי וירוס פעיל.
 
כלי ההפעלה הבלתי חוקי היה נגוע בקוד זדוני. המשתמש הודבק בקוד זדוני לתקופה בלתי ידועה, בעת שמוצר החברה היה בלתי פעיל. הקוד הזדוני הורכב מדלת אחורית מקיפה, שאפשרה לגורמים חיצוניים לגשת למחשב המשתמש.

כאשר הוחזרה תוכנת החברה לפעולה, היא זיהתה את הקוד הזדוני כ-Backdoor.Win32.Mokes.hvl וחסמה את התקשורת שלו עם שרת פיקוד ושליטה בלתי ידוע. הזיהוי הראשון של התוכנה הזדונית היה ב-4.10.14. 
 
בנוסף, מוצר האנטי וירוס גם זיהה גרסאות מוכרות וחדשות של קוד הזדוני של Equation. 

אחד מהקבצים, שזוהה ע"י המוצר כגרסה חדשה של הקוד הזדוני של Equation APT היה ארכיב 7zip, ששלח, באישור משתתף הקצה ותחת הסכם רישיון KSN, אל מעבדת קספרסקי לניתוח נוסף.
 
בעת הניתוח נחשף, שהארכיב הכיל מגוון קבצים, כולל כלים ידועים ובלתי מוכרים של קבוצת Equation, קוד מקור ומסמכים מסווגים. האנליסט דיווח על האירוע למנכ"ל. בהמשך לבקשה מהמנכ"ל, הארכיב עצמו, קוד המקור, וכל מידע מסווג אחר, נמחקו תוך ימים ממערכות החברה. עם זאת, הקבצים הבינאריים של הקוד הזדוני נותרו באחסון החברה.הארכיב לא שותף עם אף גורם חיצוני.

הסיבה, שמעבדת קספרסקי מחקה את הקבצים האלה ותמחק קבצים דומים בעתיד, מתבססת על 2 סיבות: הראשונה, היא זקוקה רק לבינאריות של הקוד הזדוני כדי לשפר את האבטחה, ושנית, יש לה חששות בקשר לטיפול בחומרים מסווגים.

בעקבות האירוע נקבעה מדיניות חדשה עבור כל האנליסטים בחברה: הם נדרשים למחוק כל חומר מסווג, שנאסף במקרה במהלך מחקר נגד קוד זדוני.
 
החקירה לא העלתה אף מקרה דומה בשנים 2015, 2016 או 2017.

עד היום, לא זוהתה אף חדירה של גורם חיצוני, מלבד Duqu 2.0, לרשתות מעבדת קספרסקי. כדי לתמוך באובייקטיביות של החקירה הפנימית, מעבדת קספרסקי ביצעה אותה באמצעות אנליסטים שונים, כולל כאלה ממקור שאינו רוסי ושעובדים מחוץ לרוסיה, כדי להימנע מהאשמות בהטיית הממצאים.

ממצאים נוספים:
אחת מהחשיפות המוקדמות המרכזיות של החקירה הייתה,כשהמחשב במוקד החקירה הודבק ב-Mokes backdoor - קוד זדוני המאפשר גישה מרחוק למשתמשים זדוניים. כחלק מהחקירה, חוקרי החברה ביצעו מחקר עומק לגבי הדלת האחורית ולגבי טלמטריה אחרת, שנשלחה מהמחשב ומתייחסת לאיומים שאינם קשורים ב-Equation.

רקע על הדלת האחורית Curious Mokes
זהו מידע ידוע, שהדלת האחורית Mokes (הידוע גם כ-Smoke Bot או Smoke Loader) הופיעה לראשונה בפורומים רוסיים אפלים ב-2011, כשהפכה זמינה לרכישה. מחקר של החברה מראה, שבמהלך התקופה בין ספטמבר לנובמבר 2014, שרתי הפיקוד והשליטה של קוד זדוני זה נרשמו תחת זהות סינית בשם Zhou Lou. ניתוח עומק על בסיס הטלמטריה של מעבדת קספרסקי מראה, שסביר שהדלת האחורית Mokes לא הייתה הקוד הזדוני היחיד, שהדביק את המחשב במהלך האירוע המדובר, מכיוון שזוהו כלי הפעלה ו-Keygens בלתי חוקיים אחרים על אותו המחשב.

קוד זדוני נוסף שאינו Equation
במהלך תקופה של חודשיים, המוצר התריע על 121 רכיבים של קוד זדוני שאינו של Equation: דלתות אחוריות, כלי פריצה, טרויאנים ו-Adware. כל ההתראות האלו, בשילוב הכמות המוגבלת של נתוני טלמטריה זמינים, מאפשרים לקבוע בוודאות, שהמוצר של החברה זיהה את האיומים, אך לא ניתן לקבוע בוודאות אם הם אכן הופעלו במהלך התקופה בה המוצר היה מנוטרל. 

החברה ממשיכה לחקור את הדוגמיות הזדוניות ותוצאות נוספות תפורסמנה ברגע שהמחקר יסתיים.

מסקנות:
המסקנות הכוללות מהחקירה הן כדלהלן:
תוכנת מעבדת קספרסקי פעלה כצפוי והתריעה לאנליסטים בהתאם לחתימות, שנכתבו במיוחד כדי לזהות קוד זדוני של קבוצת Equation APT, שכבר הייתה בחקירה ב-6 החודשים, שקדמו לכך. כל זאת, בהתאם לתיאור המוכרז על דרך פעולת המוצר ועפ"י התרחישים והמסמכים החוקיים להם הסכים המשתמש בטרם התקנת התוכנה. 

חומרים, שנחשדו לכאורה כמידע מסווג זוהו ובודדו, משום שנארזו כחלק מארכיב קבצים, שעם זיהויו יצר התראה הקושרת אותו עם חתימת הקוד הזדוני של Equation.

מעבר לקוד הזדוני, הארכיב גם בודד את מה שנראה כקוד מקור עבור הקוד הזדוני Equation APT ו- 4 מסמכי וורד בעלי סימון מסווג. אין ברשות החברה מידע על תוכן המסמכים, מאחר שהם נמחקו תוך מספר ימים.

החברה אינה יכולה להעריך האם המידע "טופל כראוי" (עפ"י הנורמות של ממשלת ארה"ב), מאחר והאנליסטים שלה לא הוכשרו כדי לטפל במידע אמריקני מסווג, והם אינם פועלים תחת מחויבות חוקית לכך. המידע לא שותף עם אף גורם חיצוני.

בניגוד לפרסומים שונים בתקשורת, לא נמצאה אף עדות כי חוקרי החברה ניסו אי פעם לייצר חתימות "שקטות", שמטרתן לחפש מסמכים עם המילים "סודי יותר", "מסווג" או מילים אחרות.

ההדבקה ע"י הדלת האחורית Mokes והדבקות אפשריות אחרות, שאינן קשורות ב-Equation, מצביעות על האפשרות, שנתוני המשתמש הודלפו למספר בלתי ידוע של גורמים חיצוניים כתוצאה מגישה מרחוק שהתאפשרה למחשב.
 
הדו"ח המלא זמין כאן, וניתוח טכני של Mokes זמין להורדה כאן.