Kaspersky zaključil preiskavo: tajne dokumente NSA smo takoj izbrisali
Matej Huš
17. nov 2017 ob 08:56:48
Rusko podjetje za računalniško varnost Kaspersky Lab je zaključilo interno preiskavo incidenta s tajnimi dokumenti ameriške NSA in izsledke objavilo na internetu. Končno poročilo večinoma sledi vmesnemu poročilu, ki so ga razkrili oktobra letos in zavrača trditve Wall Street Journala, da je Kaspersky Lab namenoma vdrl v računalnik uslužbenca NSA. Kaspersky Lab pojasnjuje, da je bil v incident vpleten prenosni računalnik okužen z različnimi virusi, na njem pa je bila tudi interna koda NSA. Prejete datoteke so v Moskvi takoj po identifikaciji pobrisali, zatrjujejo.
Incident se je dogajal med septembrom in novembrom 2014. Na osebnem računalniku, ki je imel IP-naslov, dodeljen Verizonu v Baltimoru blizu sedeža NSA, je tekel protivirusni program Kaspersky. Ta je imel med definicijami za viruse tudi definicijo za nekaj orodij, ki jih je razvijal Equation Group, kar je ena izmed neuradnih enot NSA. Ko je Kaspersky zaznal ustrezne podpise datotek, jih je v skladu z običajno prakso poslal na moskovske strežnike. To se je zgodilo večkrat, analiza pa je pokazala, da ni šlo le za prevedene verzije (binaries), temveč različne module in izvorno kodo. V stisnjenih arhivih, ki so bili "okuženi", je bila v resnici delovna koda, ki jo je imel pri sebi eden izmed razvijalcev orodij NSA.
Ko je analitik pri Kaspersky Lab to odkril, je o tem obvestil direktorja, ki je kasneje ukazal izbris teh datotek. Pri Kaspersky Lab pojasnjujejo, da je to standardna praksa, kadar pri delu naletijo na tajne ali kako drugače nedostopne podatke. Izbrišejo jih s svojih strežnikov, pri tem pa ne poskrbijo, da nikoli ne zapustijo njihovega omrežja. Obdržali so le nujno potrebne prevedene verzije (binaries), ki so potrebne za vključitev v seznam definicij. Kaspersky bo namreč pri uporabnikih zaznaval tudi vladne trojance, denimo tiste iz NSA.
Zgodba bi se bila morala tu končati, pa se ne. Nesrečni prenosni računalnik je bil namreč okužen tudi z zaresnimi virusi, ki jih je uporabnik dobil s piratsko verzijo Office 2013. Med nameščanjem je izključil protivirusni program, zaradi česar so se virusi razpasli po računalniku. Tudi te je Kaspersky zaznal, poleg tega pa vrsto povezav, ki jih je okuženi računalnik vzpostavljal s strežniki piscev virusov. Očitno so tudi ti vdrli v računalnik, kar bi lahko pojasnilo, kako je koda NSA našla pot do ruskih hekerjev, kar trdijo izraelski obveščevalci in o čemer so poročali ameriški mediji. Ali je vanj vdrl še kdo tretji, pa ni znano.
Skratka, razvijalec pri NSA je imel na svojem računalniku kodo prisluškovalne opreme NSA, ki jo je Kaspersky zaznal kot okužen program in posredoval v Moskvo. Tam so to odkrili in datoteke pobrisali. Hkrati je uporabnik naložil piratski Office 2013, prek katerega se je okužil z zlonamernimi virusi s črnega trga. Kaspersky Lab pa zanika, da bi imeli kakršnekoli programe, ki bi namerno iskali tajne datoteke in jih pošiljali v podjetje. Poudarjajo, da čeprav to teoretično lahko stori vsak proizvajale protivirusne opreme, saj ta teče z visokimi privilegiji, tega nikakor ne počno. Navedb nobene izmed strani seveda ne moremo neodvisno preveriti.