Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Kaspersky contrattacca: “Il contractor dell’NSA hackerato per colpa sua”
La versione di Kaspersky
Dopo aver negato qualsiasi coinvolgimento con i servizi segreti di Vladimir Putin e aver avviato un programma di “apertura” del codice sorgente del suo programma per fugare i dubbi riguardo funzionalità nascoste, Kaspersky ha ora pubblicato un’indagine che ricostruisce la vicenda in maniera decisamente differente da quella prospettata dalla stampa statunitense.
Nel dettaglio, l’azienda russa spiega di aver analizzato tutti i dati a sua disposizione su ciò che è successo sul computer del contractor nei giorni in cui ha subito il furto di materiali di cui è stata accusata, coinvolgendo nell’indagine analisti di nazionalità non russa ed esterni all’azienda.
Cosa dice Kaspersky? Nella sua versione tutto sarebbe cominciato l’11 settembre 2014, quando l’antivirus installato sul computer del contractor avrebbe segnalato la presenza di un malware usato dal gruppo Equation (il braccio armato dell’NSA nel settore dello spionaggio informatico – ndr).
Poco tempo dopo, il contractor avrebbe però disattivato l’antivirus per un periodo non specificato di tempo. Il motivo? L’utente avrebbe installato una versione pirata di Microsoft Office e l’antivirus avrebbe impedito l’esecuzione del crack (il generatore di codice) incluso nell’ISO del software pirata.
Arriviamo al 4 ottobre, quando l’antivirus Kaspersky (riattivato dall’utente) rileva la presenza di un trojan (Backdoor.Win32.Mokes.hvl) che secondo gli esperti della società di sicurezza sarebbe stato contenuto proprio nel crack di Office usato dal contractor.
Non solo: sul computer sarebbero stati rilevati altri crack contenenti malware. Nel report si legge infatti che “nell’arco di due mesi, la soluzione ha riportato avvisi relativi a 121 campioni di malware non legati a Equation: backdoor, exploit, trojan e adware.”
Insomma: stando alla ricostruzione di Kaspersky, per un periodo di tempo non specificato il computer di un contractor dell’NSA zeppo di malware sarebbe rimasto senza protezione antivirus e con una backdoor attiva installata per crackare una versione pirata di Office.
L’attenzione dei ricercatori si concentra sulla backdoor. Il trojan, riporta sempre l’azienda, sarebbe un malware ben conosciuto (Mokes) che è stato distribuito sui forum del Dark Web già nel 2011 e che nel periodo in questione (tra settembre e novembre 2014) era controllato da un server Command and Control registrato a un ente “presumibilmente cinese” chiamato Zhou Lu.
Secondo Kaspersky, quindi, il materiale riservato presente sul computer sarebbe potuto finire nelle mani di chiunque (gli Shadow Brokers?) proprio a causa della brillante idea del contractor di installare software pirata su un PC che conteneva documentazione e software spia top secret dell’NSA.
E per quanto riguarda le accuse di avere sui propri sistemi i documenti e i materiali in questione? Nell’indagine i ricercatori forniscono una loro spiegazione anche per questo.
Alla sua riattivazione, infatti, l’antivirus avrebbe rilevato sia varianti note che già precedentemente conosciute del malware del gruppo Equation.
“Uno dei file rilevati dalla soluzione come nuova variante del malware Equation era un archivio 7zip” si legge nel rapporto “che secondo i termini del contratto utente e del contratto KSN (Kaspersky Security Network – ndr) è stato inviato al Kaspersky Virus Lab per ulteriori analisi”.
Una classica applicazione della protezione basata su cloud: il file sospetto viene inviato ai server di Kaspersky per essere analizzato.
E sarebbe proprio in questo momento che i ricercatori russi si sarebbero trovati tra le mani i documenti top secret: “In seguito all’analisi, è stato scoperto che l’archivio conteneva numerosi file, inclusi tool noti e sconosciuti del gruppo Equation, codice sorgente e documenti classificati”.
A questo punto il ricercatore avrebbe riferito dell’incidente a Eugene Kaspersky, che ha ordinato di eliminare l’archivio stesso, il codice sorgente e qualsiasi file apparentemente classificato.
“Tuttavia, i file binari legittimi del malware sono tuttora presenti nell’archivio di Kaspersky Lab, che non è stato condiviso con alcuna terza parte”.
Chi ha ragione?
Sapere quale sia la versione giusta (o se la verità stia nel mezzo) è piuttosto difficile. Quel che è certo è che tutta la vicenda accende i riflettori su una serie di problemi legati alla sicurezza informatica e allo spionaggio di stato che dovrebbe far riflettere prima di tutto sul rapporto tra governi e privati.
In primo luogo per il fatto che le società di sicurezza informatica, a prescindere da dove hanno sede e dai presunti legami con questo o quel governo, si trovano per la natura stessa della loro attività a maneggiare materiale decisamente sensibile, soprattutto ora che i “malware di stato” sono diventati così numerosi.
La difesa di Kaspersky, che dice in buona sostanza di aver semplicemente fatto il suo lavoro analizzando un archivio compresso in cui era presente malware sconosciuto, da un punto di vista formale non fa una grinza.
L’altro spunto di riflessione riguarda la figura del contractor (diciamocelo: in ogni caso non ne esce proprio benissimo) e che è la rappresentazione plastica dell’utente informatico del terzo millennio: perfettamente consapevole dei rischi che corre ma pronto a comportarsi come un vero kamikaze per motivi tutto sommato futili. Chi è senza peccato scagli la prima pietra…
Condividi l'articolo
Android: i messaggi cancellati rimangono sullo smartphone
JoltandBleed: Oracle Tuxedo ha una serie di falle critiche
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
One thought on “Kaspersky contrattacca: “Il contractor dell’NSA hackerato per colpa sua””