Aggiornamenti recenti Aprile 4th, 2025 12:39 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’Italia è tra gli obiettivi principali del cybercrime
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
Kaspersky contrattacca: “Il contractor dell’NSA hackerato per colpa sua”
La versione di Kaspersky
Dopo aver negato qualsiasi coinvolgimento con i servizi segreti di Vladimir Putin e aver avviato un programma di “apertura” del codice sorgente del suo programma per fugare i dubbi riguardo funzionalità nascoste, Kaspersky ha ora pubblicato un’indagine che ricostruisce la vicenda in maniera decisamente differente da quella prospettata dalla stampa statunitense.
Nel dettaglio, l’azienda russa spiega di aver analizzato tutti i dati a sua disposizione su ciò che è successo sul computer del contractor nei giorni in cui ha subito il furto di materiali di cui è stata accusata, coinvolgendo nell’indagine analisti di nazionalità non russa ed esterni all’azienda.
Cosa dice Kaspersky? Nella sua versione tutto sarebbe cominciato l’11 settembre 2014, quando l’antivirus installato sul computer del contractor avrebbe segnalato la presenza di un malware usato dal gruppo Equation (il braccio armato dell’NSA nel settore dello spionaggio informatico – ndr).
Poco tempo dopo, il contractor avrebbe però disattivato l’antivirus per un periodo non specificato di tempo. Il motivo? L’utente avrebbe installato una versione pirata di Microsoft Office e l’antivirus avrebbe impedito l’esecuzione del crack (il generatore di codice) incluso nell’ISO del software pirata.
Arriviamo al 4 ottobre, quando l’antivirus Kaspersky (riattivato dall’utente) rileva la presenza di un trojan (Backdoor.Win32.Mokes.hvl) che secondo gli esperti della società di sicurezza sarebbe stato contenuto proprio nel crack di Office usato dal contractor.
Non solo: sul computer sarebbero stati rilevati altri crack contenenti malware. Nel report si legge infatti che “nell’arco di due mesi, la soluzione ha riportato avvisi relativi a 121 campioni di malware non legati a Equation: backdoor, exploit, trojan e adware.”
Insomma: stando alla ricostruzione di Kaspersky, per un periodo di tempo non specificato il computer di un contractor dell’NSA zeppo di malware sarebbe rimasto senza protezione antivirus e con una backdoor attiva installata per crackare una versione pirata di Office.
L’attenzione dei ricercatori si concentra sulla backdoor. Il trojan, riporta sempre l’azienda, sarebbe un malware ben conosciuto (Mokes) che è stato distribuito sui forum del Dark Web già nel 2011 e che nel periodo in questione (tra settembre e novembre 2014) era controllato da un server Command and Control registrato a un ente “presumibilmente cinese” chiamato Zhou Lu.
Secondo Kaspersky, quindi, il materiale riservato presente sul computer sarebbe potuto finire nelle mani di chiunque (gli Shadow Brokers?) proprio a causa della brillante idea del contractor di installare software pirata su un PC che conteneva documentazione e software spia top secret dell’NSA.
E per quanto riguarda le accuse di avere sui propri sistemi i documenti e i materiali in questione? Nell’indagine i ricercatori forniscono una loro spiegazione anche per questo.
Alla sua riattivazione, infatti, l’antivirus avrebbe rilevato sia varianti note che già precedentemente conosciute del malware del gruppo Equation.
“Uno dei file rilevati dalla soluzione come nuova variante del malware Equation era un archivio 7zip” si legge nel rapporto “che secondo i termini del contratto utente e del contratto KSN (Kaspersky Security Network – ndr) è stato inviato al Kaspersky Virus Lab per ulteriori analisi”.
Una classica applicazione della protezione basata su cloud: il file sospetto viene inviato ai server di Kaspersky per essere analizzato.
E sarebbe proprio in questo momento che i ricercatori russi si sarebbero trovati tra le mani i documenti top secret: “In seguito all’analisi, è stato scoperto che l’archivio conteneva numerosi file, inclusi tool noti e sconosciuti del gruppo Equation, codice sorgente e documenti classificati”.
A questo punto il ricercatore avrebbe riferito dell’incidente a Eugene Kaspersky, che ha ordinato di eliminare l’archivio stesso, il codice sorgente e qualsiasi file apparentemente classificato.
“Tuttavia, i file binari legittimi del malware sono tuttora presenti nell’archivio di Kaspersky Lab, che non è stato condiviso con alcuna terza parte”.
Chi ha ragione?
Sapere quale sia la versione giusta (o se la verità stia nel mezzo) è piuttosto difficile. Quel che è certo è che tutta la vicenda accende i riflettori su una serie di problemi legati alla sicurezza informatica e allo spionaggio di stato che dovrebbe far riflettere prima di tutto sul rapporto tra governi e privati.
In primo luogo per il fatto che le società di sicurezza informatica, a prescindere da dove hanno sede e dai presunti legami con questo o quel governo, si trovano per la natura stessa della loro attività a maneggiare materiale decisamente sensibile, soprattutto ora che i “malware di stato” sono diventati così numerosi.
La difesa di Kaspersky, che dice in buona sostanza di aver semplicemente fatto il suo lavoro analizzando un archivio compresso in cui era presente malware sconosciuto, da un punto di vista formale non fa una grinza.
L’altro spunto di riflessione riguarda la figura del contractor (diciamocelo: in ogni caso non ne esce proprio benissimo) e che è la rappresentazione plastica dell’utente informatico del terzo millennio: perfettamente consapevole dei rischi che corre ma pronto a comportarsi come un vero kamikaze per motivi tutto sommato futili. Chi è senza peccato scagli la prima pietra…
Condividi l'articolo
Android: i messaggi cancellati rimangono sullo smartphone
JoltandBleed: Oracle Tuxedo ha una serie di falle critiche
Articoli correlati
Altro in questa categoria
Approfondimenti
-
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna...
Ransomware: la serie
No posts found.
One thought on “Kaspersky contrattacca: “Il contractor dell’NSA hackerato per colpa sua””