Amerikaanse overheid linkt Kaspersky nu aan Shadow Brokers
Kaspersky ligt (weer) onder vuur in de Verenigde Staten. Amerikaanse onderzoekers zouden het securitybedrijf nu linken aan de Shadow Brokers, een schimmige groep die onder meer hacking tools wist buit te maken bij medewerkers van de NSA.
Dat schrijft althans de Wall Street Journal. Volgens de krant zijn er indicaties dat Kaspersky’s software werd gebruikt door de Shadow Brokers om binnen te breken bij computers van NSA-medewerkers.
Dat werkt zo: om de computers van zijn gebruikers te kunnen beveiligen, scant Kaspersky alle bestanden. Russische spionnen zouden daarbij hebben meegegluurd. De theorie wordt bevestigd door, onder meer David Kennedy, CEO van TrustedSec aan Yahoo Finance. “Ik denk dat er veel kans is dat het informatiedump van de Shadow Brokers rechtstreeks gelinkt kan worden aan Kaspersky,” zegt hij. Honderd procent duidelijkheid in de zaak zal er allicht nooit komen. Kaspersky heeft de aantijgingen altijd ontkent.
Shadow Brokers
U kent de Shadow Brokers als de schimmige groep achter een hoop securitylekken. De groep gooide tussen augustus 2016 en april 2017 een reeks ‘hackinghandleidingen’ en kwetsbaarheden online, die door criminelen gebruikt kunnen worden in malware. Veel daarvan komen van de Amerikaans geheime dienst, de NSA. Onder meer de Windows-kwetsbaarheid EternalBlue werd zo gelekt, een exploit in de beruchte ransomware Wannacry een belangrijke rol speelde. Securityresearchers en Amerikaanse overheidsmedewerkers geloven dat de Shadow Brokers een team zijn van de Russische geheime dienst.
In oktober 2017 kwamen Amerikaanse overheidsmedewerkers voor het eerst naar buiten met de theorie dat Russische spionnen de software van Kaspersky hadden gebruikt om geclassificeerde documenten van bepaalde computers te stelen.
In een stuk in de New York Times legt securityonderzoeker PatrickWardle, een ex-NSA medewerker, uit hoe het mogelijk zou kunnen zijn om antivirussoftware te gebruiken om bestanden te stelen. Hij legt zijn experiment als volgt uit. “Kan ik een signature maken die naadloos integreert in de bestaande antivirus engine en die, in plaats van te zoeken naar malware, zoekt naar geheime documenten?” Volgens Wardle is dat perfect mogelijk. “Een insider met slechte bedoelingen kan in eender wel antivirusbedrijf zo’n signature loslaten en zou waarschijnlijk niet gevonden worden.” Wardle spreekt zelfs over “de perfecte cyberspionage-aanval”.
Rusland vs Amerika
Kaspersky, een van oorsprong Russisch antivirusbedrijf, ligt al een tijdje overhoop met de Amerikaanse overheid. Die heeft de veel gebruikte antivirussoftware al in de ban gedaan voor overheidscomputers. Een en ander kwam in stroomversnelling toen bleek dat, zonder dat de Russen het wisten, Israëlische spionnen op hun beurt inbraken bij Kaspersky. Daar zouden ze hebben kunnen meekijken wat de (Russische) spionnen allemaal uitspookten. Israël zou de VS daarvoor hebben gewaarschuwd.
Kaspersky Lab zelf heeft de beschuldigingen altijd tegengesproken, en dat is deze keer niet anders. In een reactie op het stuk in de New York Times, met het signature experiment, stuurt het bedrijf de volgende mededeling uit. “Het artikel geeft geen bewijzen dat producten van Kaspersky Lab ooit gebruikt werden als spionagetool. Bovendien heeft elke antivirus security software, niet alleen die van Kaspersky Lab, de mogelijkheid om te zoeken naar kwaadaardige bestanden. Omdat de aantijgingen in het artikel gericht kunnen worden aan bijna elk software security product in de industrie, beschadigen dat soort beschuldigingen niet alleen onze reputatie, maar die van de hele IT security industrie.”
Het bericht gaat verder: “Het is niet mogelijk voor Kaspersky Lab producten om in het geheim specifieke signatures of updates naar een enkele gebruiker te sturen, omdat al onze signature beschikbaar – en zichtbaar- zijn voor onze gebruikers.”
Fout opgemerkt of meer nieuws? Meld het hier