Kasperky legt weiteren Bericht wegen NSA-Hack vor

Antivirus-Hersteller Kaspersky hat einen Abschlussbericht bezüglich der 'NSA-Affäre', bei der Geheimdokumente von russischen Hackern entwendet wurden, vorgelegt.


Anzeige

Antivirus-Hersteller Kaspersky steht ja unter Beschuss der US-Behörden, weil er mit seiner Software Behördenrechner ausspioniere und so einen Hack mit Abfluss von von NSA-Dokumenten von einem Notebook ermöglicht habe. Zum Hintergrund: Im Oktober 2017 wurde der russische Antivirus-Hersteller Kaspersky massiv beschuldigt. Installierte Kaspersky Antivirus-Software sei schuld, dass NSA-Geheimdokumente von einem Notebook eines Kontraktors in die Hände russischer Hacker fielen.

Ich hatte im Blog-Beitrag Theorie: Wie Kaspersky zur Spionage benutzt wurde u.a. darüber berichtet. Für Kaspersky ist der Verdacht, als Trojaner missbraucht zu werden, natürlich existenzbedrohend. In den letzten Wochen legte die Firma daher bereits interne Untersuchungen, ob und wie Dokumente vom Virenscanner auf die Kaspersky-Server gelangten, offen.

Ein Fall ist besonders abenteuerlich. Ein NSA-Angestellte benutzte eine gecrackte Office-Version mit Backdoor zum Arbeiten und hatte Geheimdokumente auf seinem Rechner. Die Kaspersky Antivirus-Software schlug Alarm und lud Dateien hoch. Bei anderen Funden schlug die Antivirus-Software an, weil die NSA-Mitarbeiter Schadcode von Exploits der NSA auf ihren Rechnern speicherten.

Nun hat Kaspersky einen weiteren Bericht vorgelegt, der ein wenig Licht in die Angelegenheit bringt.

Für fast zwei Monate erhielt ein Server der in Moskau ansässigen Kaspersky Labs im Jahr 2014 vertrauliche Materialien der Nationalen Sicherheitsbehörde (NSA) von einem schlecht abgesicherten Windows-Rechner übermittelt.

Der klassifizierte Quellcode, sowie weitere Dokumente und ausführbare Binärdateien waren auf einem Computer gespeichert, für den eine IP-Adresse für Verizon FIOS-Kunden in Baltimore, etwa 20 Meilen von der NSA-Fort Meade, Maryland, reserviert war.

Die Server von Kaspersky Lab haben ab dem 11. September 2014 bis zum 9. November dieses Jahres die vertraulichen Dateien mehrmals heruntergeladen. Grund: Die auf dem Computer installierte Antivirensoftware von Kaspersky Lab hatte festgestellt, dass auf dem Rechner schädliche Code der Equation Group enthielt. Die Equation Group ist eine zur NSA gehörende Hackergruppe, die mindestens 14 Jahre lang operierte, bevor Kaspersky sie im Jahr 2015 enttarnte.

Zu den Uploads, die das Kaspersky-Programm – wie andere AV-Software auch – automatisch auslöste, wenn es auf verdächtige Software stößt, die eine weitere Überprüfung rechtfertigte, gehörte ein 45 MB großes 7-Zip-Archiv. Dieses enthielt Quellcode, bösartige ausführbare Dateien und vier Dokumente mit US-Regierungskennzeichen. Ein Unternehmensanalyst, der das Archiv manuell überprüfte, stellte schnell fest, dass es vertrauliches Material enthielt.

Innerhalb weniger Tage und unter der Leitung von CEO und Gründer Eugene Kaspersky, löschte die Firma alle Materialien außer den schädlichen Binärdateien. Die Firma erstellte dann eine spezielle Softwareanpassung, um zu verhindern, dass die 7-Zip-Datei erneut von der AV-Software auf die eigenen Server hochgeladen werden konnte.


Anzeige

Laut Kaspersky wurden dieses Dokumente niemals an Dritte weiter geleitet und wohl auch nicht von den Unternehmensservern abgezogen. Im Bericht geht Kaspersky aber näher auf die vom NSA-Angestellten installierte Raubkopie von Microsoft Office-Version ein, die durch eine Backdoor infiziert war.

Der Bericht besagt, dass Kaspersky AV den Trojaner Smoke Loader und Smoke Bot am 4. Oktober entdeckt hat. Das war 22 Tage nachdem das AV-Programm zum ersten Mal die Gleichungsgruppendateien entdeckt hatte und 15 Tage nachdem Kaspersky die 7-Zip-Datei heruntergeladen hatte. Damit es die Raubkopie von Office mit der Backdoor installiert werden kann, muss ein Benutzer das AV-Programm vorübergehend deaktivieren. Die Mitarbeiter von Kaspersky Lab vermuten, dass der Benutzer den Schutz deaktiviert hat, als er versucht, die raubkopierte Version von Office zu installieren, und nachdem sie installiert wurde, schaltete sich der AV wieder ein.

Aus der Pressemitteilung des Unternehmens lassen sich folgende Details herausziehen.

  • Die erste Equation-Malware wurde zufällig am 11. September 2014 entdeckt:
    • 44006165AABF2C39063A419BC73D790D
    • mpdkg32.dll
    • Verdict: HEUR:Trojan.Win32.GrayFish.gen
  • Nach den Erkenntnissen scheint der Benutzer Software-Raubkopien auf seinen Computern heruntergeladen und installiert zu haben, wie sie durch einen illegalen Microsoft Office Aktivierungsschlüsselgenerator  (aka "keygen") erzeugt werden. Der VirusTotal-Link zeigt, dass eine Backdoor enthalten ist. Kaspersky Lab Produkte erkennen die Malware seit 2013 als Backdoor.Win32.Mokes.hvl.
  • Die Malware wurde in einem Ordner mit dem Namen Office-2013-PPVL-x64-en-US-Oct2013.iso gefunden (das ist die Stelle, wo der Hinweis auf eine gemountete ISO-Abbild-Datei in einem virtuellen Laufwerk aufkam.
  • Der erste Fund der (fake) Keygen Backdoor auf der Maschine war am 4. Oktober 2014. Zur Installation der Software wurde das Kaspersky-Produkt deaktiviert. Genaueres gibt die Telemetrie angeblich nicht her.
  • Der Benutzer war nun infiziert und die Backdoor wurde später, als die Software benutzt und die AV-Software aktiviert war, von Kaspersky erkannt und blockiert. Der Benutzer hat den Rechner mehrmals scannen lassen – jedes Mal wurden neue und unbekannte Varianten der Equation APT Malware gefunden (zuletzt am 17. November 2014).

Ist schon abenteuerlich, was da so ans Tageslicht kommt. Wird natürlich am Bann der Kaspersky Software bei US-Behörden nichts ändern. Aber es wird deutlich, wie bei den Amerikanern gearbeitet wird. Bei Interesse lassen sich die Details bei Kasperky nachlesen. Und hier sowie hier gibt es eine geraffte Zusammenfassung in Englisch. Bei heise.de hat man hier einen deutschsprachigen Artikel veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Kasperky legt weiteren Bericht wegen NSA-Hack vor

  1. Herr IngoW sagt:

    Ja bei den Amis ist ja alles "great" nur bei der Sicherheit…. da weis man nicht so genau wenn selbst die Geheimdienste Raubkopien nutzen?
    Kasperski? Naja ob da immer alles stimmt weis man auch nicht so genau. (Schadensbegrenzung?)
    Na dann gute Nacht, denn es wird ja mit Sicherheit Dunkel.

  2. schattenmensch sagt:

    Vielleicht hätten die mal die AGBs von Kaspersky besser durchlesen sollen. Da steht nämlich drin, das Daten über installierte Programme usw. an die Kaspersky Server übertragen und ggf. an Dritte weitergeleitet werden.

    So heißt es:
    "6.1. Zur Verbesserung des Datenschutzes und der Qualität der Software und Leistungen stimmen Sie zu, Kaspersky Lab automatisch die folgenden Informationen statistischer und administrativer Art zu übermitteln: Informationen über installierte Programme, Lizenzdaten, Informationen zu erkannten Bedrohungen und Infektionen, Prüfsummen verarbeiteter Objekte, technische Informationen über den Computer und daran angeschlossene Geräte sowie Informationen über die Online-Aktivitäten des Geräts. Sie stimmen ferner zu, dass solche Informationen Drittdienstleistern zur Verfügung gestellt werden dürfen. …
    Wenn Sie keine Informationen an Kaspersky Security Network übermitteln möchten, dürfen Sie Kaspersky Security Network nicht aktivieren. Ist Kaspersky Security Network bereits aktiviert, sollten Sie diesen Dienst unverzüglich deaktivieren."

    https://support.kaspersky.com/de/13596

Schreibe einen Kommentar zu Roland Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.