Gepirateerde Windows, slechte beveiliging en malwareschrijvers: Kaspersky’s rapport over de NSA-spionage
Kaspersky Lab, dat er door de VS van wordt beschuldigd de Russische geheime dienst te helpen, heeft een eigen rapport uitgebracht. Daarin legt het uit wat er mis was met de computer van de NSA-onderaannemer die in 2015 malwaregeheimen zou hebben gelekt.
Enkele weken geleden schreven Amerikaanse kranten, waaronder de Wall Street Journal, dat Russische geheime dienst in 2015 kon meekijken op de computer van een onderaannemer van de NSA, via zijn installatie van Kaspersky software. Volgens de artikels had Kaspersky ook documenten van de computer gekopieerd. Het nieuws was onder andere aanleiding voor de Amerikaanse overheid om strenger op te treden tegen de softwareproducent, en bijvoorbeeld geen Kaspersky securitysoftware meer toe te laten op overheidscomputers. Kaspersky heeft de aantijgingen altijd ontkent en bood onder meer aan zijn broncode te laten uitpluizen. Het bedrijf heeft ondertussen het technische onderzoek in die zaak afgerond en brengt nu zijn eigen rapport uit.
Daarin schrijft Kaspersky dat het in die periode onderzoek voerde naar malware gemaakt door de ‘Equation Group’, waarschijnlijk Kaspersky’s codewoord voor de NSA. Tijdens dat onderzoek ging het op zoek naar signatures of hashes gelinkt aan Equation software op machines die Kaspersky draaien.
Op 11 september 2014, zo schrijft het bedrijf, werd zijn securitysoftware geïnstalleerd op een pc met een IP-adres in Baltimore, Maryland, een stadje dicht bij het hoofdkwartier van de NSA. En die computer leek heel wat varianten van de Equation Group malware aan boord te hebben.
Daarnaast vond Kaspersky op de pc een 7zip archief met daarin nieuwe varianten van de Equation malware, dat teruggestuurd werd naar het Lab. Analyse van onderzoekers vond gekende en onbekende Equation tools, naast broncode van de malware en geclassificeerde documenten die aangaven dat de Baltimore computer waarschijnlijk eigendom was van iemand die de malware schreef, niet iemand die er zelf slachtoffer van was. Volgens het rapport werd die broncode en de geheime documenten getoond aan oprichter Eugene Kaspersky, die beval om ze meteen te vernietigen. Volgens Kaspersky hielden zij alleen de ‘binaries’ bij, de codes die ze nodig hadden om hun eigen klanten te beschermen tegen dit soort malware.
Een draaideur
Leuke twist. Volgens Kasperky zette de gebruiker van de computer op een bepaald moment de antivirusbescherming uit om een gepirateerde versie van het Windows Office kantoorsoftware te downloaden en installeren. Die crack versie had zelf een malware aan boord, Mokes, die vervolgens ook op het systeem terechtkwam. Die Mokes is dan weer gemaakt door een Russische hacker in 2012 en zou, om het nog iets ingewikkelder te maken, in de versie op deze bijzonder onfortuinlijke computer, zijn aangestuurd door een hacker in China. Toen de beveiligingssoftware terug werd aangezet, detecteerde ze Mokes, maar lang niet alleen Mokes. Over een periode van twee maanden vondt Kaspersky 128 verschillende voorbeelden van malware op de computer, die niks met de Equation group te maken hadden.
Conclusie van Kaspersky: die onderaannemer zou beter moeten weten. “Gezien het potentiële dreigingsniveau voor de eigenaar van de computer, is het mogelijk dat hij een belangrijk doelwit was voor andere naties,” aldus een Kaspersky woordvoerder. “Als je daarbij voegt dat de gebruiker blijkbaar nood had aan gekraakte versies van Windows Office, en dat hij op een onjuiste manier omging met beveiliging en mogelijk vertrouwelijke documenten, is het mogelijk dat de gebruiker informatie heeft gelekt naar verschillende handen.”
Op de vraag of Kaspersky wel zomaar mag rondneuzen in de computers van klanten, reageert het bedrijf als volgt: “Kaspersky Lab security software heeft, zoals gelijkaardige oplossingen van concurrenten, toegang tot computersystemen om zo malware infecties tegen te gaan en controle over de geïnfecteerde systemen terug te geven aan de gebruikers. Die toegang laat toe dat onze software alle bestanden ziet op de systemen die we beschermen.”
Fout opgemerkt of meer nieuws? Meld het hier