Эксперты выявили на компьютере 121 образец вредоносного ПО, не связанного с группировкой Equation Group.
«Лаборатория Касперского» опубликовала результаты внутреннего расследования, инициированного в связи с заявлениями ряда СМИ о том, что программное обеспечение компании якобы использовалось для поиска и загрузки засекреченных данных с домашнего компьютера сотрудника Агентства национальной безопасности США (АНБ). Отчет подтверждает предварительные выводы, обнародованные в конце октября нынешнего года, однако в нем есть и новые факты. В частности, как показал анализ телеметрии, доступ к вышеуказанному устройству могло иметь неограниченное число сторонних лиц.
Одним из главных предварительных выводов было то, что компьютер пользователя был заражен бэкдором Mokes, позволявшем злоумышленникам получить доступ к устройству. Mokes (также известный как Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных подпольных форумах в 2011 году. Как показало исследование ЛК, в период с сентября по ноябрь 2014 года C&C-серверы данного вредоноса были зарегистрированы на, предположительно, китайскую организацию Zhou Lou.
В период инцидента Mokes мог быть не единственным вредоносом, инфицировавшем компьютер пользователя, отмечается в сообщении компании. За два указанных месяца защитное решение «Лаборатории Касперского» сообщило о 121 образце вредоносного ПО, не относящегося к группировке Equation Group (предположительно связана с АНБ). В их числе были бэкдоры, трояны, эксплойты и рекламное ПО. Так как пользователь периодически отключал защитное решение, специалисты ЛК не могут сказать, запускались ли вредоносы в период инцидента.
«Защитное решение «Лаборатории Касперского» сработало ровно так, как и должно было сработать при обнаружении вредоносного кода. Оно уведомило аналитиков компании об угрозе на основании сигнатур ПО группировки Equation, деятельность которой на тот момент расследовалась уже шесть месяцев. Все эти действия соответствуют заявленной функциональности продукта, стандартным сценариям его работы и юридическим документам, согласие с которыми выражает пользователь перед установкой решения. Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation», - сообщается в отчете компании.
В компании также отметили, что не обладают информацией о содержании данных документов, поскольку они были уничтожены сразу после получения и не передавались третьим лицам. Была ли процедура уничтожения проведена в соответствии с законодательством США, в ЛК сказать не смогли.
«Эксперты компании не проходили инструктаж по обращению с засекреченными документами и не имеют юридических обязательств его проходить», - подчеркнули в «Лаборатории Касперского». Компания также сообщила о готовности предоставить подробности расследования заинтересованным клиентам и правительственным организациям.
Спойлер: мы раскрываем их любимые трюки