Aggiornamenti recenti Aprile 18th, 2024 2:00 PM
Nov 20, 2017 Marco Schiaffino Attacchi, Gestione dati, Hacking, In evidenza, Intrusione, Leaks, Malware, News, RSS, Scenario 1
La versione di Kaspersky
Dopo aver negato qualsiasi coinvolgimento con i servizi segreti di Vladimir Putin e aver avviato un programma di “apertura” del codice sorgente del suo programma per fugare i dubbi riguardo funzionalità nascoste, Kaspersky ha ora pubblicato un’indagine che ricostruisce la vicenda in maniera decisamente differente da quella prospettata dalla stampa statunitense.
Nel dettaglio, l’azienda russa spiega di aver analizzato tutti i dati a sua disposizione su ciò che è successo sul computer del contractor nei giorni in cui ha subito il furto di materiali di cui è stata accusata, coinvolgendo nell’indagine analisti di nazionalità non russa ed esterni all’azienda.
Cosa dice Kaspersky? Nella sua versione tutto sarebbe cominciato l’11 settembre 2014, quando l’antivirus installato sul computer del contractor avrebbe segnalato la presenza di un malware usato dal gruppo Equation (il braccio armato dell’NSA nel settore dello spionaggio informatico – ndr).
Poco tempo dopo, il contractor avrebbe però disattivato l’antivirus per un periodo non specificato di tempo. Il motivo? L’utente avrebbe installato una versione pirata di Microsoft Office e l’antivirus avrebbe impedito l’esecuzione del crack (il generatore di codice) incluso nell’ISO del software pirata.
Arriviamo al 4 ottobre, quando l’antivirus Kaspersky (riattivato dall’utente) rileva la presenza di un trojan (Backdoor.Win32.Mokes.hvl) che secondo gli esperti della società di sicurezza sarebbe stato contenuto proprio nel crack di Office usato dal contractor.
Non solo: sul computer sarebbero stati rilevati altri crack contenenti malware. Nel report si legge infatti che “nell’arco di due mesi, la soluzione ha riportato avvisi relativi a 121 campioni di malware non legati a Equation: backdoor, exploit, trojan e adware.”
Insomma: stando alla ricostruzione di Kaspersky, per un periodo di tempo non specificato il computer di un contractor dell’NSA zeppo di malware sarebbe rimasto senza protezione antivirus e con una backdoor attiva installata per crackare una versione pirata di Office.
L’attenzione dei ricercatori si concentra sulla backdoor. Il trojan, riporta sempre l’azienda, sarebbe un malware ben conosciuto (Mokes) che è stato distribuito sui forum del Dark Web già nel 2011 e che nel periodo in questione (tra settembre e novembre 2014) era controllato da un server Command and Control registrato a un ente “presumibilmente cinese” chiamato Zhou Lu.
Secondo Kaspersky, quindi, il materiale riservato presente sul computer sarebbe potuto finire nelle mani di chiunque (gli Shadow Brokers?) proprio a causa della brillante idea del contractor di installare software pirata su un PC che conteneva documentazione e software spia top secret dell’NSA.
E per quanto riguarda le accuse di avere sui propri sistemi i documenti e i materiali in questione? Nell’indagine i ricercatori forniscono una loro spiegazione anche per questo.
Alla sua riattivazione, infatti, l’antivirus avrebbe rilevato sia varianti note che già precedentemente conosciute del malware del gruppo Equation.
“Uno dei file rilevati dalla soluzione come nuova variante del malware Equation era un archivio 7zip” si legge nel rapporto “che secondo i termini del contratto utente e del contratto KSN (Kaspersky Security Network – ndr) è stato inviato al Kaspersky Virus Lab per ulteriori analisi”.
E sarebbe proprio in questo momento che i ricercatori russi si sarebbero trovati tra le mani i documenti top secret: “In seguito all’analisi, è stato scoperto che l’archivio conteneva numerosi file, inclusi tool noti e sconosciuti del gruppo Equation, codice sorgente e documenti classificati”.
A questo punto il ricercatore avrebbe riferito dell’incidente a Eugene Kaspersky, che ha ordinato di eliminare l’archivio stesso, il codice sorgente e qualsiasi file apparentemente classificato.
“Tuttavia, i file binari legittimi del malware sono tuttora presenti nell’archivio di Kaspersky Lab, che non è stato condiviso con alcuna terza parte”.
Chi ha ragione?
Sapere quale sia la versione giusta (o se la verità stia nel mezzo) è piuttosto difficile. Quel che è certo è che tutta la vicenda accende i riflettori su una serie di problemi legati alla sicurezza informatica e allo spionaggio di stato che dovrebbe far riflettere prima di tutto sul rapporto tra governi e privati.
In primo luogo per il fatto che le società di sicurezza informatica, a prescindere da dove hanno sede e dai presunti legami con questo o quel governo, si trovano per la natura stessa della loro attività a maneggiare materiale decisamente sensibile, soprattutto ora che i “malware di stato” sono diventati così numerosi.
La difesa di Kaspersky, che dice in buona sostanza di aver semplicemente fatto il suo lavoro analizzando un archivio compresso in cui era presente malware sconosciuto, da un punto di vista formale non fa una grinza.
L’altro spunto di riflessione riguarda la figura del contractor (diciamocelo: in ogni caso non ne esce proprio benissimo) e che è la rappresentazione plastica dell’utente informatico del terzo millennio: perfettamente consapevole dei rischi che corre ma pronto a comportarsi come un vero kamikaze per motivi tutto sommato futili. Chi è senza peccato scagli la prima pietra…
Apr 16, 2024 0
Apr 12, 2024 0
Apr 03, 2024 0
Mar 29, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...
One thought on “Kaspersky contrattacca: “Il contractor dell’NSA hackerato per colpa sua””