«Лаборатория Касперского» опубликовала полные результаты внутреннего расследования инцидента с исходным кодом ПО Equation

16.11.2017 |

Александр Абрамов.

«Лаборатория Касперского» завершила внутреннее расследование инцидента, связанного с заявлениями ряда СМИ о том, что ПО компании якобы использовалось для поиска и скачивания засекреченной информации с домашнего компьютера сотрудника Агентства национальной безопасности США (АНБ). Отчет подтверждает предварительные выводы, которые «Лаборатория Касперского» обнародовала 25 октября. Однако в нем есть и новые факты. Например, анализ телеметрии показал, что удаленный доступ к устройству, о котором идет речь, могло иметь неизвестное количество третьих лиц.

Одним из главных предварительных выводов было то, что компьютер пользователя был заражен бэкдором Mokes, который позволяет злоумышленникам получить доступ к устройству. Mokes (также известный как Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных андеграундных форумах в 2011 году. Исследование «Лаборатории Касперского» показало, что в период с сентября по ноябрь 2014 года управляющие серверы этого вредоноса были зарегистрированы на, предположительно, китайскую организацию под названием Zhou Lou.

Дальнейший анализ телеметрии «Лаборатории Касперского» показал, что Mokes мог быть не единственным зловредом, заразившим указанный компьютер в период инцидента. За два указанных месяца защитное решение «Лаборатории Касперского», установленное на компьютере, сообщило о 121 образце вредоносного ПО, не относящемся к Equation. Среди них были бэкдоры, эксплойты, троянцы и рекламные программы. Учитывая ограниченное количество доступной телеметрии (решение «Лаборатории Касперского» периодически отключалось пользователем), нельзя однозначно сказать, запускались ли обнаруженные вредоносы в период, относящийся к инциденту. Эксперты «Лаборатории Касперского» продолжают изучать этот вопрос.