* Texto actualizado el 16 de noviembre de 2017 para incluir nuevas conclusiones. Para acceder a los detalles técnicos, consulta el informe de Securelist.
El artículo ha sido actualizado para incluir las preguntas más frecuentes (FAQ´s).
FAQ´s
¿De qué trataba esta investigación?
A principios de octubre, The Wall Street Journal publicaba que el software de Kaspersky Lab se usó supuestamente para descargar datos clasificados del ordenador particular de un empleado de la NSA. Kaspersky Lab, que lleva trabajando en la lucha contra el ciberespionaje y el cibercrimen más de 20 años, ha tratado el incidente con mucha seriedad y ha puesto en marcha una investigación interna para recopilar hechos y resolver dudas.
¿Habéis encontrado información al respecto?
No, no hemos encontrado nada sobre ningún incidente en 2015. No obstante, hubo un incidente en 2014, parecido al que describió recientemente la prensa.
¿Qué pasó exactamente?
Nuestro producto detectó el malware Equation en el sistema de un usuario. Luego, en el mismo sistema, se detectó una puerta trasera que no era Equation, sino que se originó por usar una copia pirata de Microsoft Office y un archivo 7-Zip que contenía muestras de un malware previamente desconocido. Después de haberlo detectado, nuestro producto envió el archivo a nuestros investigadores de virus para su análisis. Como resultado, el archivo contenía código fuente de malware que parecía estar relacionado con el Equation Group, así como varios documentos Word con marcas de clasificación.
¿Qué era la puerta trasera?
Era la Puerta trasera de Mokes, también conocido como “Smoke Bot” o “Smoke Loader”. Lo interesante de este malware es que se podía comprar en foros clandestinos en 2011. Cabe destacar que los servidores de mando y control de este malware estaban registrados por una supuesta entidad china llamada Zhou Lou durante el periodo de septiembre a noviembre del 2014.
¿Fue el único malware con el que se infectó el PC en cuestión?
Es difícil de saber: nuestro producto se desactivó del sistema durante un largo período de tiempo. Sin embargo, podemos afirmar que mientras nuestro producto estaba desactivado, se reportaron 121 alarmas en diferentes tipos de malware que no eran Equation: puertas traseras, exploits, Troyanos, y adware. Al parecer, este PC se convirtió en un objetivo bastante popular.
¿El software buscó intencionalmente este tipo de archivos, utilizando palabras clave como “top secret” o “classified”?
No, no lo hizo. El archivo malicioso fue detectado automáticamente por nuestras tecnologías proactivas de protección.
¿Habéis compartido este archivo o archivos con terceros?
No. Además, eliminamos inmediatamente el archivo por orden del CEO.
¿Por qué eliminasteis los archivos?
Porque no necesitamos el código fuente para mejorar nuestra protección, mucho menos documentos Word clasificados. Los archivos recopilados (binarios) son más que suficiente para ello, y son los únicos que permanecen en nuestro almacenamiento.
¿Habéis encontrado alguna evidencia de que la red corporativa estuviera comprometida
Aparte de Duqu 2.0, del cual informamos públicamente después del incidente, no, no hemos encontrado ninguna evidencia.
¿Estáis dispuestos a compartir vuestros datos con terceros?
Sí, estamos preparados para proporcionar toda la información para que se lleven a cabo auditorías independientes. Mientras, en nuestro informe de Securelist puedes encontrar más detalles técnicos.
Resultados completos
Debido a los supuestos incidentes producidos en 2015 que la prensa ha publicado últimamente, Kaspersky Lab ha iniciado durante este mes de octubre de 2017 una exhaustiva revisión de sus registros de telemetría. Estábamos al tanto de un único incidente que se produjo en 2014 durante la investigación de una APT, cuando nuestros subsistemas de detección detectaron lo que parecían ser archivos que contenían el código fuente del malware Equation y decidimos comprobar si había incidentes similares. Además, investigamos si hubo intrusiones de terceros en nuestros sistemas, aparte de Duqu 2.0, en el momento de este supuesto incidente de 2015.
Hemos llevado a cabo una investigación a fondo sobre el caso de 2014 y los resultados preliminares revelan lo siguiente:
- Durante la investigación de la APT Equation (amenaza persistente avanzada por sus siglas en inglés), observamos infecciones en más de 40 países.
- Algunas de estas infecciones fueron en EE. UU.
- Como procedimiento habitual, Kaspersky Lab ha informado a los órganos gubernamentales pertinentes de EE. UU. sobre las infecciones APT activas en Estados Unidos.
- Una de las infecciones detectadas en EE. UU. consistía en lo que parecía ser una variante nueva y desconocida del malware empleado por el grupo Equation.
- El incidente donde aparecieron nuevas muestras de Equation se detectó con nuestros productos domésticos, con KSN activo y la opción habilitada de enviar automáticamente muestras de malware nuevo y desconocido.
- La primera detección del malware Equation se produjo el 11 de septiembre de 2014. Se detectó la siguiente muestra:
- 44006165AABF2C39063A419BC73D790D
- mpdkg32.dllVeredicto: HEUR:Trojan.Win32.GrayFish.gen
- Nombre: HEUR:Trojan.Win32.GrayFish.gen
- Tras estas detecciones, al parecer el usuario descargó e instaló software pirata en sus dispositivos, tal y como se indica en un generador de claves de activación ilegal (conocidos como “keygen”) para Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4, en VirusTotal tienes la información al respecto) que estaba infectado con malware. Los productos de Kaspersky Lab detectaron el malware con el nombre Win32.Mokes.hvl.
- El malware fue detectado dentro de una carpeta llamada “Office-2013-PPVL-x64-en-US-Oct2013.iso”. Esto sugiere una imagen ISO montada en el sistema como una unidad/disco virtual.
- Desde 2013, los productos de Kaspersky Lab detectan el Backdoor.Win32.Mokes.hvl (el falso keygen).
- La primera detección del (falso) keygen malicioso en esta máquina data del 4 de octubre de 2014.
- Para poder instalar y ejecutar este keygen, el usuario tenía desactivados los productos de Kaspersky. Nuestra telemetría no nos permite decir cuándo se desactivó el antivirus. Puesto que el malware del keygen se detectó más tarde, creemos que el antivirus se había desactivado o no estaba en funcionamiento cuando se ejecutó el keygen, pues si el antivirus hubiera estado activo, no se habría podido ejecutar.
- Mientras el producto estuvo desactivado, el usuario estuvo infectado con este malware durante un período de tiempo indeterminado. El malware keygen era una puerta trasera que podría haber permitido el acceso a terceros.
- Más tarde, el usuario reactivó el antivirus y el antivirus detectó (con el nombre “Backdoor.Win32.Mokes.hvl“) y bloqueó el malware.
- Como parte de la investigación actual, los investigadores de Kaspersky Lab examinaron más a fondo dicha puerta trasera y la telemetría sobre las amenazas no relacionadas con Equation que envió el ordenador. Es de dominio público que la puerta trasera de Mokes (también conocido como “Smoke Bot” o “Smoke Loader”) apareció en foros rusos y que en 2011 estaba disponible para compra. La investigación de Kaspersky Lab muestra que, de septiembre a noviembre de 2014, los servidores de mando y control de este malware estaban registrados, presuntamente, por una entidad china llamada “Zhou Lou”. Aquí encontrarás el análisis técnico de la puerta trasera de Mokes.
- Durante dos meses, el producto instalado en el sistema en cuestión realizó alertas sobre 121 archivos que no eran el malware Equation: puertas traseras, exploits, troyanos y adware. La cantidad limitada de telemetría nos permite confirmar que nuestros productos detectaron las amenazas; no obstante, es imposible determinar si se ejecutaron durante el período en que el producto se desactivó. Kaspersky Lab continúa investigando las demás muestras maliciosas y los resultados se publicarán en cuanto se complete el análisis.
- Tras infectarse con el malware Win32.Mokes.hvl, el usuario analizó el ordenador varias veces y se detectaron variantes nuevas y desconocidas del malware de la APT Equation.
- La última detección desde esta máquina se produjo el 17 de noviembre de 2014.
- Uno de los archivos que detectó el producto como una nueva variante del malware de la APT Equation era un archivo 7zip.
- El archivo fue detectado como malicioso y se envió a Kaspersky Lab para su análisis. Una vez allí, lo procesó uno de los analistas y resultó que contenía diversas muestras de malware y código fuente, al parecer, del malware Equation y cuatro documentos Word con marcas de clasificación.
- Tras descubrir el sospechoso código fuente del malware Equation, el analista informó del incidente al CEO. Siguiendo la petición del CEO, el archivo fue eliminado de todos los sistemas. El archivo nunca se compartió con terceros.
- A causa de este incidente, se creó una nueva política para todos los analistas de malware: Ahora deben eliminar cualquier material que pueda ser clasificado que se haya recopilado de manera accidental durante la investigación antimalware.
- Hay dos razones por las que Kaspersky Lab borró dichos archivos y lo hará de nuevo en el futuro: primero porque solo necesitamos el malware en binario para mejorar la protección y, segundo, porque nos preocupamos por si recopilamos material potencialmente clasificado.
- En 2015 no se recibieron más detecciones de este usuario.
- Tras nuestro anuncio de Equation en febrero de 2015, muchos otros usuarios con KSN activo aparecieron en el mismo rango de IP que la detección original. Al parecer, se configuró como honeypot (sistema trampa) y en cada ordenador se cargaron varias muestras relacionadas con Equation. No se han detectado ni enviado muestras inusuales (no ejecutables) de estos honeypots y las detecciones no se han procesado de ninguna manera especial.
- La investigación no ha revelado ningún otro incidente relacionado en 2015, 2016 o 2017.
- No se detectó ninguna otra intrusión de terceros, aparte de Duqu 2.0, en las redes de Kaspersky Lab.
- La investigación ha confirmado que Kaspersky Lab nunca ha creado ninguna regla de detección en sus productos basados en las palabras clave “top secret” y “classified”.
Creemos que todo esto es un análisis preciso del incidente desde 2014. La investigación aún está abierta y la empresa facilitará más información técnica cuando esté disponible. Estamos planeando compartir toda la información sobre el incidente, incluidos los detalles técnicos con un tercero de confianza como parte de nuestra Iniciativa Global de Transparencia.
El texto se actualizó el 27 de octubre de 2017 para incluir referencias temporales y luego el 16 de noviembre de 2017 para incluir nuevas conclusiones. Para acceder a los detalles técnicos, consulta el informe de Securelist.