CÓMO LA EMPRESA RUSA PODRÍA HABER DESVIADO HERRAMIENTAS DE LA NSA

KASPERSKY LAB HA sido sometido a un intenso escrutinio después de que su software antivirus se vinculó con la violación de la computadora de la casa de un empleado de la NSA en 2015 por piratas informáticos del gobierno ruso; Fuentes del gobierno estadounidense, citadas en informes de prensa, sugirieron que la compañía con sede en Moscú se coludió con los piratas informáticos para robar documentos clasificados o herramientas de la máquina del trabajador, o al menos hicieron la vista gorda a esta actividad. El Departamento de Seguridad Nacional prohibió los productos de Kaspersky a los sistemas gubernamentales civiles, y Best Buy eliminó el software de las computadoras que vende basándose en la preocupación de que el software se pueda usar para espiar a los clientes.

Pero una mirada más cercana a las acusaciones y detalles técnicos sobre cómo operan los productos de Kaspersky plantea interrogantes sobre la precisión de la narrativa en los reportes noticiosos y sugiere que los funcionarios estadounidenses podrían ser técnicamente correctos en sus declaraciones sobre lo ocurrido, al tiempo que son incorrectos sobre la colusión por parte de Kaspersky.

Los informes iniciales sugirieron que los hackers rusos desviaron los archivos mediante el secuestro del software Kaspersky instalado en la máquina de los empleados de la NSA, sin que la firma antivirus lo supiera.Pero las historias posteriores en el New York Times y el Wall Street Journal incluyen aseveraciones o sugerencias de que la compañía fue cómplice.

"No hay forma, según lo que estaba haciendo el software, de que Kaspersky no pudiera haber sabido sobre esto", le dijo al diario un ex funcionario estadounidense anónimo . El software "tendría que haber sido programado para buscar palabras clave específicas, y los empleados de Kaspersky probablemente habrían sabido que eso estaba sucediendo", dijo la fuente, que calificó a la compañía como un "socio ingenioso".

Kaspersky negó toda connivencia y dijo la semana pasada que "no estaba involucrado y no tiene ningún conocimiento de la situación en cuestión".

Múltiples historias sobre el incidente han sido contradictorias y confusas.

Según los informes, la NSA aprendió lo que hacían los piratas informáticos rusos después de que Israel pirateó la red de Kaspersky en 2014 y obtuvo capturas de pantalla y registros de teclas que muestran a los piratas informáticos rusos utilizando el software de Kaspersky para buscar "computadoras en todo el mundo". secret '"y también incluye los nombres de código clasificados para los programas del gobierno de EE. UU., presumiblemente, los nombres en código que la NSA asignó a las herramientas de pirateo o las operaciones de piratería que no se conocían públicamente.

Las historias no dicen cómo los israelíes sabían que las búsquedas las realizaban hackers del gobierno ruso y no empleados de Kaspersky.Algunos han especulado que los rusos proporcionaron los términos de búsqueda a Kaspersky oa un topo o enlace dentro de la compañía que inició las búsquedas del Servicio Federal de Seguridad de Rusia, o FSB, o que los piratas informáticos rusos secuestraron el software para buscar las computadoras de los clientes por su cuenta. La NSA y la agencia de espionaje británica GCHQ han estudiado extensamente el software Kaspersky desde al menos el 2008 con el objetivo de subvertirlo para sus propios fines para rastrear usuarios e infiltrarse en redes.

Pero existe otra explicación posible que haría que tanto los funcionarios de EE. UU. Como Kaspersky sean precisos en sus afirmaciones y, posiblemente, absolvería a Kaspersky de la colusión. Implica una técnica comúnmente utilizada por la comunidad antivirus llamada "firmas silenciosas".

En este escenario, es posible que Kaspersky aprendiera los nombres de código de la NSA por sí mismo y creara firmas silenciosas, esencialmente comandos, para buscar archivos o documentos en las computadoras de los clientes que creía que contenían códigos maliciosos. Esto podría suceder si el software de Kaspersky detectara lo que creía que era malware NSA conocido en la computadora de un cliente, pero resultó ser un documento o archivo que contiene algo diferente y nuevo, pero que aún está relacionado con malware descubierto anteriormente. Tal vez el archivo contenía fragmentos de código de malware conocido, y esto es lo que activó el software para encontrar una coincidencia. Si estos archivos también contenían nombres de código NSA previamente desconocidos, la empresa, creyendo que los documentos eran parte de un nuevo ataque malicioso, habría firmado firmas para buscar otras muestras de los archivos en las máquinas del cliente y subirlas a los servidores de Kaspersky para su análisis. Una vez que Kaspersky recolectó los archivos, es posible que los piratas informáticos de la inteligencia rusa los interceptaran sin el conocimiento de Kaspersky, utilizando un método común de pirateo de estado-nación llamado "colección de terceros".

Este escenario podría explicar por qué Israel vio a alguien usar el software para buscar computadoras y también explicar cómo los hackers rusos se apoderaron de los archivos que el software recolectó de las máquinas. Y explicaría la extraña redacción de una directiva emitida el mes pasado por Homeland Security que prohíbe utilizar el software Kaspersky en computadoras del gobierno civil con el argumento de que "el gobierno ruso, ya sea actuando solo o en colaboración con Kaspersky, podría capitalizar el acceso proporcionado por los productos de Kaspersky para comprometer los sistemas federales de información e información implican directamente la seguridad nacional de los EE. UU. "

Pantalla de inicio de Kaspersky Internet Security.

 

Captura de pantalla: Ffgamera

Cómo funcionan las firmas silenciosas

Las firmas son esencialmente términos de búsqueda que las compañías antivirus programan en sus escáneres para buscar archivos maliciosos conocidos o sospechosos en las máquinas del cliente. Hay dos tipos de firmas: abierta y silenciosa. Una firma abierta puede ser el nombre de un archivo malicioso o su hash asociado, una especie de representación derivada matemáticamente del contenido de un archivo, o puede ser palabras clave y fragmentos de código encontrados en el malware. Cuando el software antivirus como Kaspersky encuentra un archivo que coincide con una firma o parámetros de búsqueda, pone en cuarentena o elimina el archivo y alerta al cliente, o al menos registra el hallazgo en un registro que el cliente puede ver.

Las firmas silenciosas cumplen la misma función pero sin una alerta para los clientes. Y en lugar de simplemente eliminar o poner en cuarentena el archivo, envían el archivo a la compañía antivirus para su análisis. Las empresas como Kaspersky usan firmas silenciosas para recolectar archivos cuando quieren ver si sus firmas manifiestas producen falsos positivos, cuando quieren recolectar muestras adicionales de malware conocido para ver si los atacantes han alterado sus técnicas en nuevas versiones de su código, o cuando encontraron un componente de lo que parece ser un nuevo ataque o conjunto de herramientas de ataque y quieren encontrar otros archivos maliciosos que estén relacionados con él.

"La detección silenciosa es una práctica de industria de ciberseguridad ampliamente adoptada, utilizada para verificar las detecciones de malware y minimizar los falsos positivos", señaló Kaspersky en un comunicado emitido la semana pasada. "Permite a los proveedores de seguridad cibernética ofrecer la protección más actualizada sin molestar a los usuarios con alertas constantes en la pantalla".

Los clientes aceptan este tipo de colección en los términos del servicio adjunto al software antivirus. Kaspersky no está solo en el uso de firmas silenciosas; Symantec, la compañía de software estadounidense que cotiza en bolsa, los usa, al igual que algunos otros.

"Kaspersky es simplemente el más agresivo", dijo un analista de inteligencia a The Intercept, pidiendo permanecer en el anonimato para preservar una autorización de seguridad esencial para su sustento.

Aunque las firmas silenciosas brindan a las empresas de antivirus la capacidad de recopilar cualquier archivo desde una computadora, los clientes esperan que solo recopilen archivos sospechosos, no revisen el contenido de todos sus archivos buscando algo de interés. Las historias recientes sobre Kaspersky sugieren que la empresa o los hackers del gobierno ruso usaron el software Kaspersky para buscar ampliamente no solo en la computadora del trabajador de la NSA, sino también en las computadoras de otros clientes, usando palabras como "top secret" o nombres de código NSA.

El software Kaspersky comenzó a utilizar firmas silenciosas de esta forma en 2008 cuando la compañía lanzó Kaspersky Security Network con su producto de detección de virus Kaspersky Endpoint Security 8. KSN, que es esencialmente una plataforma en la nube funciona así: las firmas "abiertas" de la compañía analizan el comportamiento de todos los códigos ejecutables en una máquina cliente, y si encuentran un archivo que contiene código ejecutable que cumple un cierto umbral de criterios sospechosos, el escáner enviará información sobre el archivo a los servidores en la nube de Kaspersky, incluido su hash, su nombre y una lista de la actividad que el ejecutable intenta realizar en la máquina de un cliente. Si los analistas de la compañía deciden que necesitan examinar el archivo, crearán una firma silenciosa para recopilarlo.

La firma silenciosa es casi idéntica a la firma abierta, pero para un cambio.Una firma abierta para el archivo malicioso, conocido como "Duqu", el malware que según los informes fue utilizado por Israel para hackear Kaspersky, podría ser "trojan.duqu.file", mientras que una firma silenciosa para el mismo archivo sería "trojan.duqu". archivo.silent ".

Las firmas silenciosas pueden llevar al descubrimiento de nuevas operaciones de ataque y Kaspersky las ha utilizado con gran éxito para buscar amenazas patrocinadas por el estado, a veces denominadas amenazas persistentes avanzadas o APT. Si un analista de Kaspersky sospecha que un archivo es solo un componente en un conjunto de herramientas de ataque creadas por un grupo de piratería, crearán firmas silenciosas para ver si pueden encontrar otros componentes relacionados con él. Se cree que es el método que Kaspersky utilizó para descubrir Equation Group: un complejo y sofisticado kit de espionaje de NSA que Kaspersky descubrió por primera vez en una máquina en Medio Oriente en 2014 .

Kaspersky se ha convertido en blanco de varias agencias de espionaje debido a su éxito en el descubrimiento y exposición de sofisticadas herramientas de ataque pertenecientes a la NSA, la agencia israelí de inteligencia de señales Unit 8200 (la contraparte israelí de la NSA) y la británica GCHQ. Además del Equation Group, las amenazas que Kaspersky ha descubierto también incluyen:  Flame , que se cree que es un producto de la NSA e Israel; Gauss , otra herramienta creada por los EE. UU. O Israel;Duqu , que se cree es un producto de Israel; y Regin , atribuido a GCHQ. El interés en el trabajo de Kaspersky para descubrir APT es tan alto que en 2014, Israel hackeó la compañía en gran parte para descubrir inteligencia sobre sus investigaciones sobre amenazas patrocinadas por el estado e identificar las amenazas que Kaspersky podría exponer a continuación.

"Así es como [Kaspersky] selecciona APTs. Estaban recolectando en Equation como firmas silenciosas durante un año, como mucho, antes de que hicieran las firmas abiertas ", dijo el ex analista de inteligencia. "Esta misma funcionalidad de firmas silenciosas es, casi con certeza, la forma en que recogieron las herramientas de la NSA de las que habla la prensa en este momento".

Según el Washington Post , el trabajador de la NSA cuyos archivos fueron robados estaba ayudando a desarrollar nuevas herramientas de pirateo para la NSA para reemplazar a otras que se habían visto comprometidas luego de que el contratista de la agencia Edward Snowden filtró documentos de la NSA a los periodistas. Muchos en la comunidad de seguridad de la información creen que el trabajador de la NSA, que fue objetivo en 2015, puede haber estado desarrollando nuevas herramientas para reemplazar las herramientas de Equation Group, que quedaron parcialmente expuestas en 2013 en un catálogo de piratería de la NSA publicado por Der Spiegel. La NSA habría sabido que era solo cuestión de tiempo antes de que las herramientas se descubrieran en la naturaleza, y Kaspersky descubrió el primer componente en 2014 y pasó un año acumulando una gran colección de herramientas de Equation Group antes de publicar la información en 2015. , quemando de manera efectiva el costoso y sofisticado conjunto de herramientas NSA.

Hace tiempo que la NSA conoce el riesgo potencial que la capacidad de la nube de Kaspersky y las firmas silenciosas representan para sus propias operaciones. El ex analista de inteligencia le dice a The Intercept que durante su tiempo en la comunidad de inteligencia, cada vez que un hacker encontró un equipo objetivo que tenía instalado el software Kaspersky con capacidad de informes en la nube, tenía que obtener un permiso especial de un director de misión para proceder con la intrusión Si un director considera que el riesgo de ser descubierto por Kaspersky vale la pena, entonces los piratas informáticos podrían proceder. (Cuando se le preguntó sobre este y otros elementos de esta historia, la NSA se negó a comentar).

Portalsix Issue # 12: AZTECTOMB32 DMW Install y ESH Package3 páginas

Los documentos de la NSA provistos por Snowden parecen respaldar esto.Uno, con fecha de febrero de 2012 , instruye a los hackers de NSA que "no se deben instalar nuevos implantes [en Kaspersky 2010+ [máquinas]). Esto se debe a que los productos de Kaspersky 2010+ se han actualizado para incluir la funcionalidad en la nube. " Otro documento de 2012 señala que después de que los piratas informáticos de NSA determinaron que el software Kaspersky se instaló en una computadora objetivo particularmente importante en Oriente Medio, los analistas de MAC [Contraterrorismo] obtuvieron la Misión Aprobación del director para instalar el implante de segunda etapa de TAO: UNITEDRAKE. "UNITEDRAKE es una herramienta de colección e implante de software NSA que se puede adaptar a diferentes métodos de ataque mediante el uso de complementos.La misma capacidad que ha ayudado a Kaspersky a descubrir operaciones encubiertas de pirateo de NSA se puede usar para espiar las máquinas del cliente.

"La razón por la que el gobierno no quiere Kaspersky en las máquinas del gobierno [de los EE. UU.] Es porque pueden y van a chupar los archivos que les parezcan interesantes. Dirán que es para proteger a las personas y solo analizarán las amenazas, pero esa es una limitación moral, no técnica ", dijo el ex analista de inteligencia, indicando que lo único que impide que Kaspersky, o cualquier otra firma de antivirus, recolecte otros archivos es profesional. ética.

El hecho de que la NSA lo supiera y fuera cautelosa al hackear cualquier máquina que usara el software Kaspersky hace que sea aún más notable que el empleado de la NSA cuyos documentos le fueron robados por la inteligencia rusa tuviera el software Kaspersky instalado en su computadora personal.

Un empleado de Kaspersky Lab trabaja en computadoras en la sede de la compañía en Moscú, el sábado 1 de julio de 2017.

 

Foto: Pavel Golovkin / AP

Fuente de nombres de código

La pregunta ahora es si la inteligencia rusa secuestró el software Kaspersky para enviar firmas silenciosas a la computadora del trabajador de la NSA o proporcionó los nombres en código e instruyó a Kaspersky para que escriba las firmas silenciosas, o si Kaspersky descubrió los nombres del código por sí mismo en el curso de su normalidad actividad. ¿Cómo sería esto último?

Si el trabajador de la NSA estaba creando nuevas herramientas para reemplazar el juego de herramientas Equation Group, puede haber tenido archivos de Equation Group en la computadora de su hogar o fragmentos de códigos de estas herramientas que hayan provocado que las firmas abiertas o silenciosas de Kaspersky los detecten. La nueva herramienta que el trabajador estaba desarrollando, o un archivo que la contiene, podría haber compartido algunas propiedades o códigos con las herramientas del Grupo de ecuaciones y, por lo tanto, activó la firma silenciosa, lo que provocó que el archivo se cargara en los servidores en la nube de Kaspersky. Kaspersky podría haber sacado algo de ese archivo que resultó ser un nombre de código NSA y creó firmas silenciosas para buscar otros archivos que contengan el mismo término, algo que está en el ámbito normal de sus operaciones.

"Si eres Kaspersky, ese es tu trabajo: encontrar APT", dijo Matt Tait, un ex especialista en seguridad de la información de GCHQ. "Y en caso de que seas Kaspersky y estés buscando malware, también estás buscando malware de estado ruso y malware de estado iraní y malware de estado de EE. UU. Y en el caso de que descubras un montón de malware de estado nación en una computadora, obviamente eso es de interés ".

Pero si la empresa recopiló documentos con palabras como "alto secreto" en lugar de recopilar archivos ejecutables, ahí es donde se vuelve turbio.

"No deberían estar recopilando archivos que no están siendo ejecutados", dijo el ex analista de inteligencia estadounidense. "No veo ninguna buena razón para absorber archivos de la máquina de un cliente solo porque querían ir a pescar".

Tait no está de acuerdo. Él dice que hay buenas razones para recopilar documentos que coincidan con una firma silenciosa.

"[D] los documentos pueden contener malware: cuando tienes cosas como macros y cero días dentro de los documentos, eso es relevante para una firma de seguridad cibernética", dijo Tait, que actualmente es investigador de ciberseguridad en el Centro Robert S. Strauss de Seguridad Internacional. y Derecho en la Universidad de Texas en Austin. "Lo que no está claro de estas historias es qué era exactamente lo que estaban buscando. ¿Están buscando algo que esté ligado al malware NSA, o algo que claramente no tiene relevancia de seguridad, sino relevancia de inteligencia? "

Si Kaspersky estaba buscando documentos "secretos" que no contuvieran ningún código malicioso, Tait dijo que las acciones de la compañía se volvieron indefendibles.

"En el caso de que estén buscando nombres de personas o marcas de clasificación, no son ellos los que buscan malware sino la inteligencia extranjera. En el caso de que la comunidad de inteligencia de los EE. UU. Tenga motivos para creer que eso está sucediendo, entonces deberían ... hacer una declaración en ese sentido ", dijo, no filtrar de forma anónima a los periodistas información que confunde a los lectores.

Kaspersky dijo en un comunicado a The Intercept que "nunca ha creado ninguna detección en sus productos basada en palabras clave como 'top secret' o 'clasificado'".

La compañía también escribió que "es bastante normal que las muestras de malware contengan nombres en clave y palabras clave inusuales, que se han agregado allí por accidente o por sus autores como un medio para identificarlo. ... Es una práctica normal para los investigadores de antivirus crear registros de detección basados ​​en palabras clave únicas ".

Malware como Stuxnet , el famoso código de ataque creado por Estados Unidos e Israel para atacar el programa nuclear de Irán, contenía una cadena de datos que parecía identificar un nombre que los atacantes habían dado a uno de los componentes del ataque: "b: \ myrtus \ src \ objfre_w2k_x86 \ i386 \ guava.pdb. "Y los archivos de Equation Group también contenían muchas palabras , como DesertWinter STRAITSHOOTER30, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID y otras que eran nombres de códigos NSA para las herramientas. Tales nombres de código se introducen con frecuencia en Yara, una herramienta de código abierto ampliamente utilizada por los investigadores de malware para descubrir códigos maliciosos, señaló la compañía.

"La creación de firmas que incluyen dichos nombres en clave es una práctica perfectamente aceptable, como lo demuestran las múltiples reglas de Yara, escritas por muchos investigadores de antivirus, de manera independiente", dijo la compañía. "El objetivo de estas reglas de detección no es buscar documentos que contengan palabras clave clasificadas, sino detectar muestras de malware basadas en palabras clave únicas que no aparecen en programas limpios. ... Un producto antivirus puede buscar palabras clave en archivos ejecutables, documentos y otros formatos de archivo potencialmente maliciosos ".

Los detractores de Kaspersky rechazan esta explicación.

"Creo que la idea de que Kaspersky haya encontrado aleatoriamente algún código malicioso y encontrado códigos es ridícula", dijo Dave Aitel, ex analista de la NSA y fundador de la empresa de seguridad Immunity , que considera que alguien que trabaja en Kaspersky -un agente de FSB o empleado de Kaspersky- fue específicamente encargado de hacer búsquedas con nombres en clave y fue atrapado con las manos en la masa por los israelíes que agarraban los archivos. "Creo que el FSB sabía exactamente lo que estaba buscando y decidió obtener copias de los archivos reales", dijo.

Aitel señala una historia reciente que describe cómo los miembros del equipo de ventas de Kaspersky en los EE. UU. Supuestamente se jactaban ante los funcionarios del gobierno de EE. UU. En 2015 de que la compañía podría aprovechar su software para ayudar a capturar objetivos vinculados al terrorismo en Medio Oriente. Si Kaspersky estaba ofreciendo usar su software para ayudar al gobierno de EE. UU. A espiar a los clientes, no hay razón para creer que no hizo la misma oferta al gobierno ruso, señala Aitel.

Kaspersky ha negado el reclamo divulgado diciendo que la compañía "nunca ha ayudado, ni ayudará, a ningún gobierno en el mundo con sus esfuerzos de ciberespionaje".

Tait dijo que no tiene sentido como modelo de negocios para Kaspersky enviar firmas silenciosas que apuntan claramente al espionaje en lugar de a la detección de malware, porque otras firmas antivirus regularmente realizan ingeniería inversa de las firmas de los competidores para ver si sus rivales están detectando algo ellos no están detectando

"[T] a me parece que es una movida realmente arriesgada para Kaspersky, porque ... alguien va a decir: 'Oye, estás viendo todos estos documentos para términos de búsqueda específicos, y se parecen a términos [que se están usando] ] en nombre del gobierno ruso, entonces usted es el gobierno ruso. Desde una perspectiva específicamente empresarial, sería una locura para Kaspersky seguir ese camino, que es una de las razones por las que [esta es] una historia tan extraña ".

Aitel piensa que Kaspersky podría eludir este escrutinio enviando solo firmas relacionadas con espionaje a un grupo reducido de clientes, reduciendo la posibilidad de que alguien más los vea y los haga ingeniería inversa.

Si los propios escaneos de Kaspersky recogieron los archivos confidenciales de las computadoras hogareñas de los trabajadores de la NSA en el curso de la búsqueda normal de malware de la compañía, la pregunta sigue siendo: ¿Cómo los consiguió la inteligencia rusa? Kaspersky negó haber proporcionado algo al gobierno ruso, por lo que si esto es cierto, deja dos posibilidades, ninguna de las cuales alivia la preocupación más amplia de que los archivos que la compañía recolectó cayeron en manos de la inteligencia rusa.

La primera posibilidad es que un topo de inteligencia ruso trabaje dentro de Kaspersky y entregue los archivos a la inteligencia rusa. De lo contrario, la inteligencia rusa podría haber robado los documentos de Kaspersky utilizando la colección de terceros.

Captura de pantalla del documento "Bebo tu batido". Documento: NSA / Der Spiegel

Colección de cuarta parte

La recopilación de una cuarta parte es un término espía que describe cuándo una agencia de inteligencia roba datos de otra agencia de inteligencia o grupo de piratería que ya se lo han robado a la víctima, lo que les permite beneficiarse de los esfuerzos de la otra parte. La práctica se describe en un documento de la NSA filtrado por Snowden, titulado " I Drink Your Milkshake ".

Hay dos tipos de colecciones de terceros: activa y pasiva. La recolección pasiva implica el robo de datos robados después de que abandona la computadora de la víctima y atraviesa los cables y enrutadores submarinos en su camino hacia la infraestructura de los hackers. Este tipo de intercepción requiere acceso a la infraestructura de Internet y también requiere la capacidad de descifrar el tráfico robado si los ladrones lo han cifrado.

La recopilación activa, por el contrario, implica piratear la infraestructura (servidores de comando y control o servidores de preparación y nodos de recopilación) de los demás hackers, donde los datos que han robado a las víctimas pueden almacenarse sin cifrar o con las claves de descifrado.

Las noticias han postulado que los hackers de la inteligencia rusa interceptaron los archivos tomados de la máquina del trabajador de la NSA mientras atravesaban las redes de telecomunicaciones rusas en su camino a los servidores en la nube de Kaspersky. Pero los archivos que el software de Kaspersky recopila de las máquinas del cliente se encriptan en tránsito usando SSL con encriptación RSA 2048 y AES 256. Aunque es posible que bajo la ley rusa, el gobierno pueda obligar a Kaspersky a entregar sus claves de descifrado, la compañía ha insistido en que nunca ha ayudado a ningún gobierno a espiar a sus clientes.

Pero también es posible que la recolección pasiva haya sido el medio: que los hackers rusos pusieron en peligro los servidores en la nube de Kaspersky y se apoderaron de los archivos allí. Una historia del Washington Post decía que los espías israelíes que piratearon Kaspersky descubrieron que las herramientas de pirateo de la NSA "en" la red de Kaspersky , lo que sugiere que podrían haber sido recogidas mientras estaban en reposo, no en tránsito. Si Israel los encontraba en la red de Kaspersky, los espías rusos podrían haberlos encontrado también.

Y ahí está el quid. Independientemente de si la inteligencia rusa obtuvo las herramientas a través de la recolección activa o pasiva o de otro modo, si la inteligencia rusa fue capaz de obtenerlas, esto genera preocupaciones de que cualquier cosa que la empresa recolecte de las computadoras de los clientes caiga en manos del gobierno ruso. Pero lo mismo ocurre con todas las compañías antivirus que recopilan archivos de las computadoras de los clientes.

Al final, es difícil determinar a partir de las confusas y confusas noticias qué ocurrió exactamente, razón por la cual Tait dijo que el público estaría mejor atendido si el gobierno de los EE. UU. Detuviera las filtraciones e insinuaciones anónimas, y estableciera claramente lo que hace la comunidad de inteligencia y no sabe sobre el incidente.

"La verdadera dificultad de todo esto es que tenemos un montón de historias diferentes ... y todas hablan del mismo conjunto de eventos, pero no está del todo claro qué sucedió exactamente", dijo. "Si Kaspersky actúa genuinamente en nombre del gobierno ruso, ese es un tema realmente importante para la seguridad nacional de los EE. UU., [Y la comunidad de inteligencia necesita] ponerle un sello oficial y decir que la posición de inteligencia estadounidense es que Kaspersky es un brazo del gobierno ruso. ... El costo de la seguridad nacional de mantenerlo en secreto es más alto que el beneficio de seguridad nacional de dar a conocer públicamente ese hecho ".

La sede de Kaspersky Lab en Moscú el lunes 30 de enero de 2017.

 

Foto: Pavel Golovkin / AP

Cronología

30 de diciembre de 2013: herramientas del grupo de ecuaciones expuestas

Siete meses después de que los periodistas comenzaron a publicar documentos filtrados por el informante de la NSA Edward Snowden, el semanario alemán Der Spiegel publica el llamado catálogo ANT : uncompendio enorme y rico de herramientas de espionaje de la NSAaparentemente compiladas por la agencia de espionaje en 2008. Der Spiegel no atribuye la filtración a Snowden, sugiriendo la posibilidad de que el catálogo se haya obtenido por otros medios. El catálogo describe cada herramienta y sus capacidades en abundantes detalles, junto con sus nombres de códigos NSA, información que puede ayudar a las compañías de seguridad a idear métodos para detectar las herramientas en las máquinas de los clientes. Entre las herramientas se encuentran algunas que luego se identificarán como pertenecientes a la familia de malware de Equation Group.

Marzo de 2014: Kaspersky descubre el primer componente del grupo de ecuaciones en estado salvaje

Supuestamente mientras investigaba el código de ataque " Regin " vinculado a la agencia británica de espionaje GCHQ, Kaspersky descubre un archivo malicioso, un controlador, que parece pertenecer a un grupo de ataque que Kaspersky nunca había visto antes. El controlador se encuentra en un sistema perteneciente a un instituto de investigación en el Medio Oriente que aparentemente es un objetivo de alto valor para muchos grupos estatales de hackers. Kaspersky dobla al sistema el "Imán de las amenazas" porque resulta estar lleno de infecciones múltiples; Además de Regin y esta nueva amenaza misteriosa, Kaspersky encuentra varias otras familias de malware de otros grupos del estado-nación, incluido Flame , según los informes, un producto de Israel y los EE. UU .; Animal Farm , que se cree que pertenece a la inteligencia francesa; Careto (o Máscara), se cree que es un grupo de estado nación de habla hispana; y Turla , un grupo de habla rusa.

El controlador misterioso utiliza técnicas avanzadas para evitar la detección, pero también utiliza un método conocido para secuestrar Windows y, por lo tanto, desencadena una alerta en el software Kaspersky.Después de que Kaspersky actualiza sus productos para detectar el controlador, el controlador aparece en las máquinas de otros clientes junto con otros componentes de software relacionados. El descubrimiento de cada nuevo componente conduce al descubrimiento de más componentes relacionados, hasta que Kaspersky atesora un conjunto de herramientas expansivo y sofisticado que dobla al Grupo de ecuaciones, que Kaspersky cree que se ha utilizado desde al menos 2001, posiblemente hasta 1996. Será casi una un año antes, Kaspersky divulgará públicamente el descubrimiento del Grupo de ecuaciones, pero los autores del juego de herramientas, que se cree que es la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés), probablemente estén al tanto de que su herramienta se descubrió antes de la divulgación pública.

Una foto tomada el 16 de septiembre de 2013 muestra la sede del operador telefónico belga Belgacom en Bruselas.

 

Foto: Bruno Fahy / AFP / Getty Images

Noviembre de 2014: Kaspersky se hace público con el descubrimiento de Regin

Kaspersky revela su descubrimiento de Regin , el juego de herramientas de vigilancia que se cree que se originó en el GCHQ de Gran Bretaña. Regin fue utilizado para hackear la Comisión Europea, la compañía belga de telecomunicaciones Belgacom y las telecomunicaciones en muchos otros países.

Febrero de 2015: Kaspersky se hace público con el descubrimiento del grupo de ecuaciones

Después de más de un año dedicado a recopilar varios componentes pertenecientes a la plataforma de Equation Group, Kaspersky finalmente se hace público con la noticia de su descubrimiento . Si, como informa el vocero de Kaspersky, Kaspersky no descubrió que había sido pirateado hasta principios de la primavera, la compañía aún ignora que los intrusos están en su red cuando se publica las noticias de Equation Group.

Primavera 2015: Kaspersky descubre que ha sido pirateado

Kaspersky descubre que ha sido pirateado, y todas las señales apuntan a Israel como el perpetrador. Kaspersky dobla el malware de los hackers "Duqu 2.0" y lo nombra después de "Duqu", un kit de herramientas anterior que también se cree que proviene de Israel . Los piratas informáticos infectaron el primer sistema Kaspersky con Duqu 2.0 en algún momento antes del 18 de noviembre de 2014, cuando Microsoft lanzó un parche para una vulnerabilidad de día cero utilizada por los atacantes.

Los piratas informáticos buscaron información de inteligencia sobre las investigaciones de Kaspersky sobre las campañas de Equation Group y Regin, que la compañía todavía no había revelado públicamente en el momento en que se produjo el hackeo. Y de acuerdo con informes de noticias recientes, los piratas informáticos también aparentemente descubren en este momento evidencia de que Kaspersky, o piratas informáticos del gobierno ruso que usan el software Kaspersky, están recopilando un nuevo conjunto de herramientas NSA que aún están en desarrollo, posiblemente herramientas que se están construyendo para reemplazar la ecuación Herramientas grupales que quedaron expuestas o "quemadas" a través de Der Spiegel en 2013. Israel recopila capturas de pantalla y registros de pulsaciones que muestran a los piratas informáticos del gobierno ruso aprovechando el software Kaspersky para espiar la máquina de un pirata informático de la NSA, que está ayudando a crear el nuevo reemplazo herramientas, según el New York Times y el Washington Post.

Hay señales de que los hackers israelíes ya saben que Kaspersky los ha atrapado en su red, porque borran datos de las máquinas Kaspersky infectadas mientras Kaspersky está persiguiendo sus huellas a través de la red de la compañía.

2015: la NSA descubre el robo de herramientas de la computadora del hogar del trabajador

Compartiendo lo que sus hackers han aprendido, los israelíes en algún momento a finales de 2014 o principios de 2015 notifican a la NSA que algunas de sus herramientas clasificadas han caído en manos de hackers rusos a través del software Kaspersky. La NSA rastrea la fuga a la computadora de un trabajador de la NSA, un miembro de su división de piratería de élite, Tailored Access Operations, que según los informes estaba desarrollando un nuevo conjunto de herramientas de piratería NSA destinadas a reemplazar el conjunto expuesto comenzando con el artículo de Der Spiegel en 2013.

Las fechas exactas de todo no están claras: Kaspersky descubrió a los intrusos israelíes en su red en "principios de la primavera de 2015", según un vocero de la compañía. Así que las capturas de pantalla y los registros de computadora que los israelíes recolectaron muestran que alguien que usa el software Kaspersky para buscar nombres de códigos NSA en máquinas de clientes fue capturado por los israelíes entre finales de 2014 y principios de 2015. El Washington Post dijo que el robo de la computadora del trabajador de la NSA ocurrido en 2015, y el trabajador fue despedido en noviembre de 2016 ; el Wall Street Journal también informa que el robo ocurrió en 2015, pero la NSA no lo conectó a la máquina del trabajador de la NSA hasta la primavera de 2016 ; el New York Times dice que el robo fue descubierto en 2015, pero que el papel que el software de Kaspersky jugó en el robo no fue descubierto hasta "recientemente".

Junio ​​de 2015: Kaspersky revela que fue pirateado

Kaspersky anuncia que fue pirateado a fines de 2014 , y todas las señales apuntan a Israel. La compañía dice que retuvo esta información hasta que Microsoft pudiera lanzar un parche para una vulnerabilidad que los hackers usaron para violar la red de Kaspersky. Kaspersky también revela que los mismos atacantes que lo atacaron también atacaron varios hoteles y salas de conferencias donde los miembros del Consejo de Seguridad de la ONU se habían reunido en 2014 para negociar un acuerdo con Irán sobre su programa nuclear.

Febrero de 2017: el gobierno de EE. UU. Inicia una campaña para prohibir el software Kaspersky

El Departamento de Seguridad Nacional envía un informe secreto sobre los riesgos de seguridad nacional del software Kaspersky a otras agencias gubernamentales. Las noticias se filtran a los medios que el FBI también está investigando la naturaleza de la relación de la compañía con el gobierno ruso. Según se informa, la investigación surge de algunos incidentes a principios de 2015 cuando alguien en el equipo de ventas de Kaspersky en EE. UU. Supuestamente lanzó lanzamientos agresivos a las agencias de inteligencia y policiales de EE. UU. Sobre la capacidad de Kaspersky de utilizar su software para espiar a clientes y ayudar a capturar sospechosos de terrorismo. Parece que el FBI estaba intrigado por la posibilidad de utilizar el software de Kaspersky para el espionaje, pero también le preocupaba que la herramienta se pudiera usar contra clientes estadounidenses, en particular clientes del gobierno. Después de que, según los informes, el Kremlin expresara su desagrado por la investigación del FBI sobre Kaspersky, el FBI comenzó una campaña para sacar el software de Kaspersky de los sistemas del gobierno .

El senador Marco Rubio, republicano por Florida, escucha el testimonio durante una audiencia del Comité de Inteligencia del Senado en el Capitolio en Washington, el jueves 30 de marzo de 2017, sobre las actividades de inteligencia rusas.

 

Foto: Susan Walsh / AP

30 de marzo de 2017: los legisladores preguntan a los testigos sobre Kaspersky

Durante una audiencia del Comité de Inteligencia del Senado, el Senador Marco Rubio, republicano de Florida, pregunta a un panel de expertos si alguna vez instalarían el software Kaspersky en cualquiera de sus computadoras o dispositivos después de citar noticias que dicen que la compañía tiene conexiones con la inteligencia rusa. Kevin Mandia, director ejecutivo de la firma de seguridad estadounidense FireEye,  responde : "Mi respuesta indirectamente sería que probablemente haya un mejor software disponible para usted que Kaspersky".

El general Keith Alexander, ex director de la Agencia de Seguridad Nacional que ahora dirige una firma de ciberseguridad, responde de manera más directa : "No, no lo haría. Y tampoco recomendaría que lo hicieras ". Luego menciona que hay otras empresas estadounidenses, incluida FireEye, que serían mejores.

El único panelista que respondió afirmativamente que usaría el software de Kaspersky es Thomas Rid, en ese entonces profesor del King's College de Londres, quien también dice que usaría otros productos de la competencia simultáneamente . Luego agrega: "Es importante decir que Kaspersky no es un brazo del gobierno ruso".

El Director de Inteligencia Nacional de los Estados Unidos, Dan Coats, a la izquierda, el Fiscal General Jeff Sessions y el Diputado del Fiscal General Rod Rosenstein asisten a un evento en el Departamento de Justicia el 4 de agosto de 2017 en Washington, DC

 

Foto: Alex Wong / Getty Images

Abril de 2017: legisladores levantan banderas rojas sobre Kaspersky

En una nota secreta enviada al Director de Inteligencia Nacional Dan Coats y al Fiscal General Jeff Sessions, el Comité de Inteligencia del Senado aparentemente levanta banderas rojas sobre Kaspersky e insta a la comunidad de inteligencia a abordar los posibles riesgos que plantea su software.

Septiembre de 2017: el DHS emite una prohibición sobre el software Kaspersky en computadoras gubernamentales

El Departamento de Seguridad Nacional emite una directiva que prohíbe que el software Kaspersky se use en computadoras del gobierno civil con el argumento de que "el gobierno ruso, ya sea actuando solo o en colaboración con Kaspersky, podría aprovechar el acceso proporcionado por los productos Kaspersky para comprometer la información federal y los sistemas de información implican directamente la seguridad nacional de los EE. UU. "Poco después de esto, se publican una serie de historias que indican que el motivo de esta prohibición puede deberse a que el software Kaspersky fue utilizado para robar herramientas NSA de la máquina de un trabajador en 2015.

Foto superior: una fotografía tomada el 17 de octubre de 2016 muestra a un empleado caminando detrás de una pared de vidrio con símbolos de codificación de máquina en la sede del gigante de seguridad de internet Kaspersky en Moscú.

https://theintercept.com/2017/10/20/kaspersky-software-russia-nsa/