روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نتایج اولیه تحقیقات در رابطه با ادعاهای اخیر در مورد لابراتوار کسپرسکی به شرح زیر بررسی شده اند.

سوالات متداول

•  به تازگی چندین رسانه از ایالات متحده‌ی آمریکا، از رویدادی خبر داده اند که در آن در رابطه با بکار‌گیری و استفاده‌ی راهکارهای امنیتی کسپرسکی در سرقت فایل‌های محرمانه‌ی NSA مطالبی منتشر شده است. از این رو ما تصمیم گرفتیم تا همه چیز را بررسی کنیم و هرگونه شک و شبهه ای را برطرف سازیم.
•  آیا از مدتی که این اخبار منتشر شده اند تا به حالا شما اطلاعاتی را در مورد این حادثه یافته اید؟
•  خیر. ما تا به حالا هیچ شواهدی را درباره‌ی حادثه ی 2015 نیاقته ایم. با این حال در سال 2014 حادثه‌ای شبیه آنچه که اخیرا در رسانه ها منتشر ساخته اند، به گوش رسیده بود که در ادامه آن را موضوع اصلی قرار خواهیم داد.

در این حمله دقیقا چه اتفاقی رخ داده بود؟

-  محصول امنیتی ما یک درب پشتی (که از سال 2013 شناخته شده بود) در یک تولید کننده‌ی کلید برای مایکروسافت آفیس و یک آرشیو 7-Zip که شامل نمونه های بدافزار در سیستم یک کاربر بود را شناسایی کرد. پس از آنکه هر یک از آن ها توسط نرم افزار امنیتی ما شناسایی شدند، راهکار امنیتی آرشیو را به منظور تجزیه و تحلیل یافته ها به متخصصان امنیتی ارسال نمود. همانطور که مشخص شد، این آرشیو شامل سورس کدهای مخربی بود که به Equation Group مربوط می شد.

-   آیا راهکارهای امنیتی از روی قصد این نوع از آرشیو را جستجو می کند؟ به عنوان مثال برای کلمات کلیدی همچون" top-secret" و" classified"؟

-  خیر به هیچ وجه اینگونه نبوده است. آرشیو منابع مخرب به صورت خودکار توسط تکنولوژی های محافظتی ما شناسایی و در نهایت برای آنالیزهای امنیتی مورد بررسی قرار می گیرند.

-  آیا این آرشیو یا فایل ها را در اختیار هر شخص ثالثی قرار می دهید؟

-  خیر به هیچ عنوان. ما با دستور مدیر عامل بلافاصله تمام آرشیوها را حذف کردیم.

-   آیا مدرکی که بتوانید ثابت کنید که مقصر این حادثه شما نبوده اید را در دست دارید؟

-  پس از حمله ی Duqu 2.0 مجرمان اسرائیلی، ما به طور عمومی گزارشی را منتشر ساختیم و در این گزارش از بی گناه بودن و واقعی بودن شایعات صحبت کردیم.

-   آیا مایل به اشتراک گذاری اطلاعات خود با یک سازمان مستقل هستید؟

-   با کمال میل. ما برای اشتراک گذاری هر نوع از داده های خود آماده هستیم.

نتیجه گیری

در ماه اکتبر 2017 لابراتوار کسپرسکی بررسی جامعی از گزارش های متعدد در مورد ادعاهای اخیری که در رسانه ها مطرح شده بود، منتشر ساخت. ما در این بررسی از حادثه ای که در سال 2014  به دنباله ی حوادث APT رخ داده بود، آگاه شدیم. زمانی که زیرساخت های تشخیص ما دچار مشکل شدند، تنها چیزی که به نظر می رسید، کدهای مخربی بود که از منابع بدافزار Equation به جای مانده بود و از همین رو ما تصمیم گرفتیم تا وقایع مشابه را بررسی کنیم.

علاوه بر این ما تصمیم گرفتیم تا از وجود هرگونه شخص ثالثی در سیستم های خود علاوه بر Duqu 2.0 آگاه شویم.

ما از سال 2014 تحقیق گسترده ای در مورد این پرونده انجام داده‌ایم و نتایج حاصل از آن به شرح زیر منتشر ساختیم:

•  در طول تحقیق در مورد حمله ی پیشرفته ی Duqu 2.0، ما متوجه آلودگی سراسری شدیم که بیش از 40 کشور در سراسر جهان مورد آلودگی قرار گرفته بودند.
•  برخی از این آلودگی ها در ایالات متحده ی آمریکا دیده شده بود.
•  به عنوان یک روش معمول، لابراتوار کسپرسکی اطلاعات مربوط به ایالات متحده را خبر رسانی کرد.
•  یکی از آلودگی های موجود در ایالات متحده شامل مواردی بود که به نظر می رسید کاملا جدید، ناشناخته و گونه ای از بدافزارهای است که توسط گروه Equation مورد استفاده قرار گرفته است.
• در این رویداد نمونه های جدیدی از Equation شناسایی شد که این گونه از Equation برای کاربران خانگی استفاده می شد و ارسال نمونه های مخرب جدید و ناشناخته به صورت خودکار انجام می گرفت.
•   اولین شناسایی بدافزار Equation در تاریخ 1 سپتامبر ماه سال 2014 اتفاق افتاد. نمونه ی زیر شناسایی Equation می باشد:
•  44006165AABF2C39063A419BC73D790D
•  mpdkg32.dll
•  HEUR:Trojan.Win32.GrayFish.gen
• با توجه به شناسایی بدافزارهای ذکر شده در بالا، بنظر می رسد که کاربر محصولات قفل شکسته را بر روی کامپیوتر خود دانلود و نصب کرده است. که بواسطه تولید Keygen تقلبی به شماره  (md5: a82c0575f214bdc7c8ef5a06116cd2a4) مشخص شده است. که سیستم کاربر بواسطه این Keygen آلوده به بدافزار شده است و راهکار کسپرسکی این بد افزار به نام Win32.Mokes.hvl را شناخته است.
• این بدافزار داخل یک فولدر بنام "Office-2013-PPVL-x64-en-US-Oct2013.iso" شناسایی شده است، که این فولدر به عنوان درایو/فولدر مجازی دز سیستم قربانی شناسایی شده است.
•  تشخیص درب پشتی .Win32.Mokes.hvl از سال 2013 در محصولات لابراتوار کسپرسکی قابل دسترس است.
• اولین تشخیص keygen مخرب بر روی این ماشین در تاریخ 4 اکتبر 2014 بود. برای نصب و اجرای این Keygen، بنظر می رسد که کاربر محصول کسپرسکی را بر روی سیستم اش غیر فعال کرده است. سیستم نظارتی ما نمی تواند به ما اعلام کند که در چه زمانی محصول کسپرسکی غیر فعال شده است. هر چند، اینکه واقعیت که بدافزار اندکی بعد بر روی سیستم قربانی در حال فعالیت پیدا شده است نشان می دهد که محصول کسپرسکی در زمان اجرای Keygen غیر فعال شده است. اجرای Keygen در زمان اجرای محصول کسپرسکی غیر ممکن بوده است.
•  سیستم کاربر توسط این بدافزار در یک مدت نامشخص آلوده بوده، در زمانی که محصول کسپرسکی غیر فعال بوده است. بدافزاری که بواسطه اجرای Keygen سیستم را آلوده کرده بوده یک Backdoor که دسترسی کامل به سیستم قربانی را برای شخص ثالث بوجود می آورده، فعال کرده است.
• در زمان بعد، کاربر آنتی ویروس را مجدداً فعال و بدافزار توسط آنتی ویروس کسپرسکی و با عنوان " “Win32.Mokes.hvl“ "شناسایی می شد و پس از راه اندازی محصول امنینی بدافزار مسدود می شد.
•  پس از اینکه سیستم به بدافزار Win32.Mokes.hvl مبتلا می شد، کاربر چندین مرتبه به اسکن کامپیوتر می پردازد که منجر به شناسایی انواع جدیدی و ناشناخته ای از حملات گسترده ی بدافزار Equation می شود.
• آخرین شناسایی بدافزار توسط این دستگاه در تاریخ 17 نوامبر 2014 بود.
• یکی از فایل هایی که توسط محصول کسپرسکی به عنوان گونه جدیدی از بدافزار Equation (تهدیدهای پیشرفته ماندگار - APT) شناسایی گردید، یک فایل آرشیوی از نوع 7ZIP بود.
• آرشیو 7zip به عنوان یک نرم افزار مخرب شناسایی شد و برای آنالیزهای امنیتی به لابراتوار کسپرسکی انتقال داده شد و در آنجا توسط یکی از محققان امنیتی مورد بررسی قرار گرفت. در زمان بررسی ها مشخص گردید که فایل آرشیو شامل گونه های مختلف بدافزار و سورس کدهایی است که در بدافزار Equation مشاهده شده بود.
• پس از کشف سورس کدهایی مشکوک بدافزار Equation، تحلیل گر بدافزار گزارش مرتبط را مستقیما به مدیر عامل گزارش داد. در پی دستورالعمل مدیر عامل کلیه آرشیوها از سیستم های کسپرسکی حذف شدند. این آرشیو ها به هیچ عنوان با هیچ شخص ثالث و سازمانی به اشتراک گذاشته نشد.
• شناسایی های بیشتری در سال 2015 توسط این کاربر دریافت نشده است.
•  به دنبال اطلاعیه ما در مورد Equation از فوریه‌ی 2015، چندین آلودگی دیگر بر روی سیستم کاربر دیگر که از شبکه امنیت جهانی کسپرسکی (KSN) استفاده می کردند مشاهده گردید که در همان محدوده IP شناسایی اولیه بودند. اینطور که به نظر می رسد این مواردبه عنوان “honeypots” پیکر بندی شده بودند و هر کامپیوتر با نمونه های مربوط از انواع مختلف Equation بارگذاری شده بودند. هیچ نمونه‌ی غیر معمولی (غیر قابل اجرایی) از گونه‌های این بدافزار در این هانی پات ها شناسایی نشده و تشخیص ها به هیچ روش خاصی پردازش نشده اند.
• این تحقیقات هیچ حادثه جدیدی را در سال های 2015، 2016 یا 2017  نشان نمی دهد.
• هیچ نفوذ دیگری توسط شخص ثالث، در شبکه داخلی کسپرسکی، بجز Duqu 2.0 شناسایی نشده است.
• تحقیقات تایید می کنند که لابراتوار کسپرسکی در هیچ زمانی، از هیچ روش شناسایی برای اسنادی با برچسب "طبقه بندی شده" و "محرمانه" ایجاد نکرده است و تنها به شناسایی بدافزارهای مخرب می پردازد.

ما باور داریم که در بالا، یک تحلیل دقیق از حادثه سال 2014 اعلام شده است. تحقیقات همچنان در حال انجام می باشد، و شرکت کسپرسکی در صورت امکان مستندات فنی بیشتری را منتشر خواهد کرد. ما در نظر داریم که اطلاعات کاملی را در رابطه با این حادثه در اختیار سازمان های بیطرف و مورد اطمینان قرار دهیم.  این بخشی از طرح جهانی شفافیت کسپرسکی برای بررسی متقابل است.

منبع: کسپرسکی آنلاین(ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.