Kaspersky Lab, Equation APT kaynak koduyla ilgili vaka hakkında yürüttüğü dahili soruşturmanın sonuçlarını yayınladı

Ekim ayının ilk günlerinde Wall Street Journal'da yayınlanan haberde, bir NSA çalışanının ev bilgisayarından gizli verileri indirmek için Kaspersky Lab yazılımının kullanıldığı iddia edilmişti. Siber casusluk ve siber suçlarla 20 yıldan fazla süredir en ön safta mücadele eden Kaspersky Lab, bu iddiaları ciddi bir şekilde değerlendirdi. Olay hakkında gerçekleri öğrenmek ve oluşan endişelere cevap vermek isteyen Kaspersky Lab kendi içinde bir soruşturma yürüttü.

Soruşturmanın ilk sonuçları 25 Ekim tarihinde yayınlandı. Basının gerçekleştiğini iddia ettiği olayın kanıtlarına ilişkin yapılan arama çalışmalarında elde edilen bilgiler genel hatlarıyla paylaşıldı. Bugün yayınlanan yeni rapor, Kaspersky Lab ürünlerinin vakayla ilgili uzaktan ölçüm analizine ilişkin ek bilgiler sundu ve elde edilen ilk bulguları doğruladı. Uzaktan ölçüm analizi, 2014 yılında gerçekleşen vakanın zaman aralığında bahsi geçen bilgisayarda kaydedilen şüpheli aktiviteyi açıklıyor.

Olayın özeti:

• 11 Eylül 2014 tarihinde, ABD'deki bir kullanıcının bilgisayarında kurulu Kaspersky Lab ürünü, Equation APT tarafından kullanılan zararlı yazılımın farklı bir sürümü olduğu görülen bir izinsiz giriş tespit etti. Equation APT, aktiviteleri Mart 2014'ten beri aktif şekilde izlenen sofistike bir siber saldırgan grubuydu.
• Görünüşe göre bundan bir süre sonra kullanıcı makinesine korsan bir Microsoft Office ISO dosyası ve yasal olmayan bir Microsoft 2013 etkinleştirme aracı (diğer adıyla "keygen") indirip kurdu.
• Office 2013'ün korsan kopyasını kurmak isteyen kullanıcı, yasal olmayan ektinleştirme aracı antivirüs etkinken çalışmayacağından bilgisayarındaki Kaspersky Lab ürününü devre dışı bıraktı.
• Office ISO dosyasında bulunan yasa dışı etkinleştirme aracı zararlı yazılım içeriyordu. Kullanıcı, Kaspersky Lab ürünü devre dışıyken belirlenemeyen bir süre boyunca bu zararlı yazılıma maruz kaldı. Zararlı yazılım, üçüncü tarafların kullanıcının makinesine erişmesini sağlayabilecek kapsamlı bir arka kapıdan meydana geliyordu.
• Kaspersky Lab ürünü yeniden etkinleştirildiğinde zararlı yazılımı Backdoor.Win32.Mokes.hvl olarak tespit etti ve bu zararlı yazılımın komut ve kontrol sunucusuna ulaşmasını engelledi. Zararlı kurulum programı ilk olarak 4 Ekim 2014 tarihinde tespit edildi.
• Buna ek olarak, antivirüs ürünü Equation APT zararlı yazılımlarının yeni ve eski sürümlerini de tespit etti.
• Ürünün Equation APT zararlı yazılımının yeni bir sürümü olarak tespit ettiği dosyalar arasında bir 7zip arşivi bulunuyordu. Bu dosya, son kullanıcı ve KSN lisans sözleşmelerine uygun bir şekilde detaylı analiz için Kaspersky Virüs Laboratuvarına gönderildi.
• Yapılan analizlerde, arşivin Equation grubuna ait bilinen ve bilinmeyen araçlar, kaynak kodları ve gizli belgeler içerdiği keşfedildi. Analist bu durumu CEO'ya raporladı. CEO'nun talebi üzerinde arşivin kendisi, kaynak kodlar ve gizli olduğu düşünülen veriler birkaç gün içinde şirket sistemlerinden silindi. Ancak, zararlı yazılımlara ait kodlar halen Kaspersky Lab tarafından saklanıyor. Arşiv hiçbir üçüncü tarafla paylaşılmadı.
• Kaspersky Lab'in bu dosyaları silmesinin ve gelecekte de benzer dosyaları silecek olmasının iki nedeni var: İlki, güvenliği geliştirmek için sadece zararlı yazılım kodlarına ihtiyaç duyuyor. İkincisi ise gizli olması muhtemel materyalleri elinde tutmaktan endişe duyuyor.
• Bu vaka sonrasında tüm zararlı yazılım analistleri için yeni bir politika belirlendi: Analistler, zararlı yazılıma karşı araştırma yaparken kazara topladıkları gizli olabilecek tüm materyalleri silmek zorunda.
• Soruşturma sırasında 2015, 2016 veya 2017'de benzer bir olay tespit edilmedi.
• Bugüne kadar, Kaspersky Lab ağlarında Duqu 2.0 dışında hiçbir üçüncü taraf sızıntısı tespit edilmedi.

Dahili soruşturma, tarafsızlığı ortaya koymak için aralarında Rus kökenli olmayan birçok analistin de katılımıyla potansiyel baskı suçlamalarını önlemek için Rusya dışında gerçekleştirildi. 

Ek bulgular

Soruşturmada elde edilen ilk önemli bulgulardan biri, bahsi geçen bilgisayarda Mokes arka kapısı  adlı, başka kullanıcıların bilgisayara uzaktan erişmesine izin veren bir zararlı yazılımın bulunması oldu.  Soruşturma kapsamında, Kaspersky Lab araştırmacıları bu arka kapıyı ve Equation kaynaklı olmayan tehditle ilgili bilgisayardan gönderilmiş diğer uzaktan ölçümleri yakından inceledi. 

• Mokes arka kapısının ilginç geçmişi

Mokes arka kapısının ("Smoke Bot" veya "Smoke Loader" olarak da tanınıyor), 2011 yılında satışa çıktıktan sonra Rus yer altı forumlarında görüldüğü biliniyor.  Kaspersky Lab'in araştırması, Eylül ile Kasım 2014 tarihleri arasında bu zararlı yazılımın komut ve kontrol sunucularının "Zhou Lou" adında, Çinli olduğu tahmin edilen bir kişiye kayıtlı olduğunu ortaya çıkardı. Kaspersky Lab uzaktan ölçümlerin detaylı analizinde ise vakanın yaşandığı dönemde Mokes arka kapısının bahsi geçen bilgisayarı etkileyen tek zararlı yazılım olmadığı, makinede diğer yasa dışı etkinleştirme araçlarının ve keygen'lerin bulunduğu tespit edildi.

• Equation ile ilgili olmayan zararlı yazılımlar

Ürün, iki aylık bir süre zarfında, Equation ile ilgili olmayan ve aralarında arka kapılar, açıklar, Truva Atları ve Reklam Yazılımlarının yer aldığı 121 program için uyarı verdi. Tüm bu uyarılar ve yapılabilen kısıtlı uzaktan ölçümler, ürünümüzün tehditleri tespit ettiğini gösterdi. Ürün devre dışındayken tehditlerin çalışıp çalışmadığını belirlemek ise imkansızdı.

Kaspersky Lab diğer zararlı örnekleri araştırmaya devam ediyor ve analizler tamamlandığında elde edilen yeni sonuçları da yayınlayacak.

Sonuçlar:

Soruşturmada elde edilen genel sonuçlar şunlar:

• Yazılım beklendiği şekilde çalıştı ve altı aydır takip edilen Equation APT grubuna ait zaralı yazılımları yakalamak için belirlenen işaretleri tespit ederek analistlerimizi uyardı. Tüm bunlar kullanıcının yazılımı kurmadan önce kabul etmiş olduğu, açıklanan ürün işlevlerinin tanımı, senaryolar ve yasal belgelere uygun bir şekilde gerçekleşti.
• Gizli olduğuna inanılan bilgiler, Equation'a özgü APT zararlı yazılım izleri taşıyan bir arşivde yer aldığı için geri çekildi.
• Arşivde zararlı yazılımın yanı sıra Equation APT zararlı yazılımlarının kaynak kodu olduğu düşünülen kodlar ve gizlilik belirten işaretlere sahip dört adet Word belgesi bulunuyordu. Kaspersky Lab belgelerin içeriği hakkında bilgi sahibi değildir. Belgeler birkaç gün içinde silinmiştir.
• Analistlerimiz ABD gizli bilgileriyle ilgilenme konusunda eğitim almadıkları ve bu yönde herhangi bir yasal zorunluluk altında olmadıklarından, Kaspersky Lab verilerle "uygun bir şekilde ilgilenip ilgilenilmediğini" (ABD Hükümeti standartlarına göre) değerlendiremez. Bilgiler hiçbir üçüncü tarafla paylaşılmamıştır.
• Birçok yayının iddasının aksine, Kaspersky Lab araştırmacılarının "çok gizli", "sınıflandırılmış" ve benzer kelimelere sahip belgeleri aramak için "sessiz" izler kullanmaya çalıştıklarına dair hiçbir delil bulunamamıştır.
• Mokes arka kapısı ve Equation ile ilgili olmayan diğer potansiyel zararlı yazılımların varlığı, kullanıcı verilerinin bilgisayara uzaktan erişilerek bilinmeyen bir sayıda üçüncü tarafa sızdırıldığı ihtimalini gösteriyor.

Tamamen şeffaf ve sorumluluk sahibi bir şirket olan Kaspersky Lab, soruşturma ile ilgili ek bilgileri devlet kurumlarındaki ilgili taraflara ve basında yer alan haberlerden dolayı endişe hisseden müşterilere sunmaya hazırdır.

Tüm raporu ve Mokes arka kapısının teknik analizini buradan okuyabilirsiniz.