קספרסקי מציגה תחקיר הסותר טענות למעורבותה בריגול רוסי בארה"ב

קספרסקי (Kaspersky Lab) משיבה מלחמה: ענקית אבטחת המידע הרוסית הציגה ממצאי תחקיר, הסותר את הטענות למעורבות שלה בריגול רוסי שנעשה בארצות הברית.

בתחילת אוקטובר פורסם כי תוכנה של קספרסקי שימשה כדי להוריד מידע מסווג ממחשב ביתי של עובד ב-NSA. זאת, במסגרת דיווח, לפיו קציני מודיעין ישראלים תפסו "על חם" האקרים, שלוחי ממשלת רוסיה, שחיפשו במחשבים בעולם שמות קוד של תוכניות מודיעין של ארצות הברית. הם השתמשו בכלי של קספרסקי, המאפשר חיפוש רחב היקף וכלל עולמי.

עוד דווח כי במסגרת מתקפת הסייבר, מסמכים סודיים נגנבו ממחשבו הביתי של עובד ה-NSA, הסוכנות לביטחון לאומי, ששמר אותם באופן לא מאובטח. על מחשבו הייתה מותקנת התוכנה של קספרסקי, ולכן הפריצה צלחה. לפי אחד הדיווחים, המידע שנגנב מעובד ה-NSA נסב על אופי ושיטות הפעולות של יחידות סייבר אמריקניות.

היום (ד') קספרסקי פרסמה תוצאות ביניים של חקירה פנימית לגבי אירוע קוד המקור שנחשף במתקפת הריגול, Equation.

"ממצאים חדשים מצביעים על אפשרות לגישה מצד כמה גורמים חיצוניים למחשב שהכיל מידע מסווג", טוענים בקספרסקי. "הדו"ח החדש מאמת את התוצאות הראשוניות של החקירה, מה-25 באוקטובר. ניתוח הטלמטריה של מוצרי קספרסקי ביחס לאירוע המדווח מעלה פעילות חשודה שנרשמה במחשב הנדון במהלך 2014".

לא זוהתה אף חדירה של גורם חיצוני

לפי התחקיר, "ב-11 בספטמבר 2014, מוצר קספרסקי שהותקן על מחשב של משתמש בארצות הברית, דיווח על הדבקה על ידי נוזקה המשמשת את קבוצת Equation APT – קבוצת סייבר מתוחכמת, שפעילותה כבר הייתה בחקירה מאז מרץ 2014. זמן מה לאחר מכן, המשתמש הוריד והתקין תוכנה פיראטית על המחשב – קובץ ISO של תוכנת Office של מיקרוסופט (Microsoft) ו-Keygen, כלי הפעלה בלתי חוקי של תוכנת Office 2013. כדי להתקין את העותק הפיראטי, המשתמש כנראה ניטרל את מוצר קספרסקי שעל מחשבו, מכיוון שהפעלה שלו לא הייתה מתאפשרת כשהאנטי-וירוס פעיל".

"כלי ההפעלה הבלתי חוקי היה נגוע בנוזקה", טוענים בענקית האבטחה הרוסית. "המשתמש הודבק בה לתקופה בלתי ידועה, כשמוצר קספרסקי היה בלתי פעיל. הנוזקה הורכבה מדלת אחורית מקיפה, שאפשרה לגורמים חיצוניים לגשת למחשב המשתמש".

"כשהוחזרה תוכנת קספרסקי לפעולה, היא זיהתה את הנוזקה וחסמה את התקשורת שלו עם שרת פיקוד ושליטה בלתי ידוע. הזיהוי הראשון של הנוזקה היה ב-4 באוקטובר 2014. בנוסף, מוצר האנטי-וירוס גם זיהה גרסאות מוכרות וחדשות של נוזקת Equation".

"ניתוח אחד מהקבצים שזוהה כגרסה חדשה של הנוזקה מצא כלים ידועים ובלתי מוכרים של קבוצת Equation, קוד מקור, וכן מסמכים מסווגים. כל אלה נמחקו תוך ימים ממערכות החברה – כי יש לה חששות בקשר לטיפול בחומרים מסווגים. אלה לא שותפו, בטרם נמחקו, עם גורם כלשהו".

בעקבות האירוע, נכתב, "נקבעה מדיניות חדשה לכל האנליסטים בחברה: עליהם למחוק כל חומר מסווג שנאסף במקרה במהלך מחקר נגד קוד זדוני. החקירה לא העלתה אף מקרה דומה בשנים 2015, 2016 או 2017. עד היום, לא זוהתה אף חדירה של גורם חיצוני – מלבד Duqu 2.0 – אל רשתות קספרסקי".

להימנע מהאשמות בהטיית הממצאים

עוד עלה מהתחקיר כי "המחשב במוקד החקירה (של עובד NSA) הודבק בדלת אחורית Mokes – נוזקה המאפשרת גישה מרחוק למשתמשים זדוניים. Mokes הופיעה בראשונה בפורומים רוסיים אפלים ב-2011, כשהפכה זמינה לרכישה. ניתוח עומק מעלה כי סביר שהדלת האחורית Mokes  לא הייתה הנוזקה היחידה שהדביקה את המחשב".

ענקית האבטחה ציינה כי "כדי לתמוך באובייקטיביות החקירה, ולהימנע מהאשמות בהטיית הממצאים – החברה ערכה אותה באמצעות אנליסטים שונים, כולל שאינם רוסים והעובדים מחוץ לרוסיה, כדי להימנע מהאשמות בהטיית הממצאים".

תוכנת קספרסקי, נכתב בסיכום, "פעלה כצפוי והתריעה לאנליסטים שלנו על הנוזקה של קבוצת Equation APT, שכבר הייתה בחקירה בששת החודשים שקדמו לכך. ההדבקה על ידי הדלת האחורית Mokes והדבקות אפשריות אחרות שאינן קשורות ב-Equation, מצביעות על האפשרות כי נתוני המשתמש הודלפו למספר בלתי ידוע של גורמים חיצוניים, בשל גישה מרחוק שהתאפשרה למחשב".