Kaspersky: Sí, obtuvimos secretos de la NSA. No, no ayudamos a robarlos
El proveedor de antivirus con sede en Moscú desafía las afirmaciones respecto a que ayudó a los espías rusos.
Durante casi dos meses en 2014, los servidores pertenecientes a Kaspersky Lab con sede en Moscú recibieron materiales confidenciales de la Agencia Nacional de Seguridad de una computadora con poca seguridad ubicada en los E.E. U.U. que almacenaban los archivos, muy probablemente violando las leyes estadounidenses, dijeron funcionarios de la compañía.
El código fuente clasificado, documentos y binarios ejecutables se almacenaron en una computadora que usaba una dirección IP reservada para clientes Verizon FIOS en Baltimore, a unas 20 millas de la sede de la NSA en Fort Meade, Maryland, dijo Kaspersky Lab en un informe de investigación publicado temprano el jueves por la mañana. A partir del 11 de septiembre de 2014 y hasta el 9 de noviembre de ese año, los servidores de Kaspersky Lab descargaron los archivos confidenciales varias veces después de que el antivirus de la compañía, que estaba instalado en la máquina, descubrió que contenían código malicioso de Equation Group, un enlace del grupo de ataque de la NSA que funcionó durante al menos 14 años antes de que Kaspersky lo expusiera en 2015.
Las descargas (que el programa Kaspersky inició automáticamente al igual que otros antivirus, cuando detectó software sospechoso que requería una inspección adicional) incluían un archivo de 45 MB en 7-zip que contenía código fuente, ejecutables maliciosos y cuatro documentos con las marcas de clasificación del gobierno de EE. UU. Un analista de la empresa que revisó manualmente el archivo determinó rápidamente que contenía material confidencial. En pocos días, y bajo la dirección del CEO y fundador Eugene Kaspersky, la empresa eliminó todos los materiales, excepto los binarios maliciosos. Luego, la compañía creó un ajuste de software especial para evitar que el archivo 7-Zip se descargue nuevamente.
"La razón por la que eliminamos esos archivos y eliminaremos los similares en el futuro es doble", escribieron los funcionarios de Kaspersky Lab en el informe del jueves. "No necesitamos nada más que los binarios de malware para mejorar la protección de nuestros clientes y, en segundo lugar, debido a las preocupaciones sobre el manejo de posibles materiales clasificados. Asumiendo que las marcas son reales, dicha información no puede ni se consumirá ni siquiera para producir firmas de detección basadas en descripciones ".
Kaspersky Lab dijo que nunca proporcionó los documentos a nadie fuera de la compañía. Una investigación exhaustiva tampoco ha revelado ninguna indicación de que ciberatacantes hayan accedido a ningún material durante el breve periodo en que fue almacenado en la red de la compañía. Según el informe, los empleados de Kaspersky Lab dependen de un cifrado sólido, específicamente "RSA + AES con una longitud de clave aceptable", al transferir muestras de malware, una práctica que hace poco probable que alguien que haya interceptado el tráfico pueda leerlo.
Empujando hacia atrás
El informe es el último intento de Kaspersky de refutar acusaciones anónimas, reportadas el mes pasado por The Wall Street Journal (WSJ), The New York Times (NYT) y The Washington Post (WaPo), que los ciberatacantes que trabajan para el gobierno ruso usaron antivirus de Kaspersky para localizar o robar material confidencial de la NSA almacenado en un computadora del hogar del trabajador. El informe inicial del WSJ dijo que el antivirus de alguna manera alertó a los ciberatacantes sobre la presencia de archivos almacenados incorrectamente, pero el periódico dijo que no estaba claro cómo el programa detectó el material o si los empleados de la compañía alertaron al gobierno ruso sobre esos archivos.
Cinco días después, el NYT y WaPo dijeron que los ciberatacantes rusos fueron capturados por espías israelíes que estaban casualmente escondidos en el interior de Kaspersky en el momento en que se robaron los archivos confidenciales de la NSA (Kaspersky Lab reveló la violación en 2015). Un día después, el WSJ informó que el papel desempeñado por el antivirus requería cambios en la forma en que funcionaba el programa y que esas modificaciones probablemente llegarían con el conocimiento de los funcionarios de Kaspersky.
Las acusaciones, todas atribuidas a funcionarios no identificados sin documentación de respaldo, ayudaron a explicar por qué el Departamento de Seguridad Nacional de EE. UU. en septiembre dio el paso sin precedentes de ordenar a todas las agencias estadounidenses que dejen de usar los productos y servicios de Kaspersky. Un mes antes, según Cyber Scoop, los miembros del FBI informaron discretamente a las compañías estadounidenses del sector privado sobre la amenaza que los funcionarios estadounidenses creían que Kaspersky representaba para la seguridad nacional. Unas semanas después de las reuniones informativas, el minorista Best Buy dejó de vender el software Kaspersky y ofreció retiros y créditos gratuitos para los paquetes de la competencia.
El informe del jueves es el intento de Kaspersky Lab de luchar contra las acusaciones que podrían reducir significativamente los ingresos que genera en los EE. UU. y potencialmente aliados de EE. UU. El informe amplía las conclusiones preliminares que publicó hace tres semanas que desafían la narrativa de la NSA de que su acceso altamente privilegiado a millones de computadoras en todo el mundo ayuda al gobierno ruso a obtener materiales confidenciales de sus adversarios
Puerta trasera con Smoke Loader
El informe del jueves de 13 páginas proporcionó más detalles sobre una puerta trasera maliciosa que infectó la computadora del cliente Kaspersky cuando instaló una versión pirateada de Microsoft Office. El informe dice que el antivirus de Kaspersky detectó por primera vez el troyano conocido como Smoke Loader y Smoke Bot el 4 de octubre a las 11:38 pm EDT. Eso fue 22 días después de que el antivirus detectara por primera vez los archivos del Equation Group y 15 días después de que Kaspersky descargó el archivo 7-Zip. Para que se haya instalado, un usuario tendría que desactivar temporalmente el antivirus. Los funcionarios de Kaspersky Lab sospechan que el usuario desactivó la protección cuando bloqueó los intentos de instalar la versión pirateada de Office y una vez que se instaló, luego volvió a encender el antivirus.
Smoke Loader llamó la atención de los investigadores de seguridad en 2011, cuando un ciberatacante ruso anunció la venta del troyano en un foro clandestino. Durante el tiempo que infectó la computadora que almacena el material de la NSA, se basó en un dominio de comando y control que se registró a alguien con el nombre Zhou Lou, una dirección en Hunan, China, y la dirección de correo electrónico zhoulu823@gmail.com. Este análisis, que se publicó tres meses antes de que Kaspersky Lab dijera que la PC de Baltimore estaba infectada, informa que Smoke Loader contenía una variedad de capacidades maliciosas, incluida la capacidad de los atacantes para controlarla de forma remota. Es posible que haya más malware además de Smoke Loader instalado en la computadora. Durante el mismo lapso de dos meses, al antivirus de Kaspersky proporcionó 121 alertas para software que no era de la NSA.
"La seguridad de este usuario en Internet no fue muy buena", dijo a Ars. Brian Bartholomew, investigador de seguridad principal de Kaspersky Lab. "Todo lo que lleva a la posibilidad de que potencialmente hubiera alguien más en ese sistema en ese momento", los materiales de la NSA fueron denunciados como robados. "No vemos indicios de eso, pero existe esa posibilidad".
Kaspersky Lab tiene información adicional sobre la puerta trasera aquí.
Una de las pocas piezas nuevas de información en el informe es la revelación de una regla de detección que Kaspersky Lab agregó a su antivirus en 2015. Para detectar mejor una operación de vigilancia conocida como TeamSpy, el antivirus comenzó a escanear archivos que incluían la palabra "secreto" dentro de su código. Un analista de malware, según el informe, lo agregó porque el malware TeamSpy fue diseñado para recopilar automáticamente ciertos archivos de interés para los atacantes. Específicamente, los archivos de interés contenían extensiones como .doc, .rtf, .xls, .mdb y .pdf y palabras como “contraseña”, “secreto” y "saidumlo" (la traducción georgiana para el secreto). La regla de detección 2015 buscó archivos para cadenas que incluyen:
- *saidumlo*
- *secreto*
- *.xls
- *.pgp
- *contraseña*
La regla podría explicar la información en el último artículo de WSJ que, citando funcionarios no identificados, dijo que el antivirus de Kaspersky "buscó términos tan amplios como 'altamente secreto', que pueden estar escritos en documentos gubernamentales clasificados, así como también los nombres clasificados de programas del gobierno de EE. UU.".
Negación plausible
Al igual que las conclusiones preliminares que Kaspersky publicó hace tres semanas, es probable que el informe del jueves no cambie la opinión de los críticos que dicen que los lazos de la compañía con el Kremlin representan un riesgo inaceptable para la seguridad de los EE. UU.
"Es muy, muy creíble", dijo Dave Aitel, ex analista de la NSA y crítico de Kaspersky durante mucho tiempo, sobre la información que Kaspersky Lab ha sacado a la luz. "Pero mi perspectiva personal es que no aborda lo que el (gobierno de EE. UU.) tenga sobre Kaspersky".
Aún así, la versión de eventos de Kaspersky plantea una variedad de inconsistencias y preguntas en la narración proporcionada por las personas anónimas citadas en los artículos de octubre. Por ejemplo:
- ¿La computadora Kaspersky es la misma que almacena los secretos de la NSA que fueron robados por los ciberatacantes rusos? Si es así, ¿por qué las noticias dicen que el robo de datos ocurrió en 2015?
- Si las computadoras son iguales, ¿los investigadores del gobierno de EE. UU. tienen alguna evidencia de que estaba infectado con malware en el momento en que almacenó esos materiales? En caso afirmativo, ¿los investigadores han descartado la posibilidad de que la infección haya influido en la ubicación o el robo de los materiales de la NSA?
- ¿Cómo pueden los investigadores del gobierno de EE. UU. estar seguros de que el antivirus de Kaspersky fue modificado intencionalmente para ayudar a los espías rusos a localizar el material de la NSA?
Los representantes de la NSA se negaron a responder las preguntas y remitieron Ars a los funcionarios del FBI. El FBI se negó a comentar también.
Para ser justos con los funcionarios de EE. UU., a menudo existen razones válidas de seguridad nacional para no proporcionar información específica cuando se divulga información clasificada a los periodistas. Además, si el presidente ruso, Vladimir Putin, ordenara a Kaspersky Lab ayudar a robar secretos de la NSA, no está del todo claro si la compañía con sede en Moscú tendría un mecanismo legal para desafiar la demanda. Tal orden casi con seguridad requerirá un secreto absoluto y los tipos de negaciones vigorosas que Kaspersky Lab está publicando ahora.
Esto deja a gran parte del mundo de la seguridad en un duelo geopolítico de “el dijo / ella dijo” que hace que sea difícil saber qué versión de eventos creer. No es probable que este estancamiento se resuelva hasta que los funcionarios estadounidenses brinden más detalles.
"Creo que es plausible que Kaspersky Lab se haya utilizado para obtener material confidencial, pero hasta ahora solo hemos visto acusaciones, en gran parte de fuentes anónimas", Jake Williams, un experto en malware de Rendition InfoSec que trabajó en las operaciones de acceso de élite de la NSA. grupo de pirateo hasta 2013, dijo a Ars. "Se necesitan pruebas creíbles y / o declaraciones oficiales del gobierno de los EE. UU. antes de atacar a una empresa extranjera".
Artículos relacionados: