Rájár a rúd az orosz alapítású IT-biztonsági cégre; először az amerikai hadseregből tették ki a gyártó szűrét, nem sokkal később pedig en bloc száműzetését jelentette be az USA kormányzata. Azzal vádolják a Kasperskyt, hogy programján keresztül fontos és titkos információk szivároghatnak ki. Ezt a minap maga az érintett volt kénytelen beismerni.

Amerikaiakra utaztak

Minden alkalommal, amikor a fentiekkel vádolták meg az oroszokat, a bizonyítékok hiányával védekeztek, illetve felajánlották termékeik átvilágításának lehetőségét. Az amerikai piac ugyanis fontos terep a vállalat számára, jól jövedelmező tulajdonságát nem szívesen engednék veszni. Ezért proaktívan azt a döntést hozták a vállalatnál, hogy saját magukat fogják átvilágítani. Váratlan fordulatot hozott az ügy.

A belső áttekintés első eredményei szerint ugyanis igaza van az amerikaiaknak. Az Amerikai Nemzetbiztonsági Hivatal (NSA) hackereszközeinek forráskódját nagy valószínűséggel amerikai PC-kre telepített Kaspersky termékek révén szerezhették meg a hackerek – hangoztatja egy ideje már az NSA. Azt állítják, hogy még 2014-ben férhettek hozzá az oroszok ezekhez az eszközökhöz, kihasználva azt, hogy egy NSA-alkalmazott - otthonról dolgozva - nem irodai szintű biztonsági környezetben tevékenykedett.

Visszatérve az alapos felülvizsgálatra: a kutakodás kiterjedt a vállalat telemetriai naplójaira is. Ennek eredményeit látva kénytelenek voltak felfedni, hogy tudomásuk volt egy 2014-es, fejlett fenyegetés (advanced persistent threat, APT) jelentette incidensről. Az Equation nevű malware-hez köthető esemény kapcsán hasonló mintázatok után kezdtek kutatni a vállalatnál, melynek során kiderült, hogy a digitális kártevőnek egy, korábban ismeretlen változata kifejezetten az amerikai felhasználókat célozta, akik a Kaspersky otthoni termékét használták. Amennyiben a Kaspersky Security Network (KSN) funkció be volt kapcsolva, a támadók előtt megnyílt az út.

A legdrágább kalózprogram

"A felfedezés nyomait követve rájöttünk, hogy az érintett felhasználó kalózszoftvert töltött le és telepített számítógépére, ami egy illegális Microsoft Office termékaktivációs kulcsgenerátorként viselkedett. Erről kiderült, hogy malware-rel volt fertőzve" – olvasható az elemzésben. Eszerint a felhasználó látta az antivírus riasztását, de kikapcsolta a Kaspersky termékét, hogy futtathassa a kulcsgenerátort.

Amint újra aktiválta a biztonsági szoftvert, néhányszor leellenőrizte az immár fertőzött számítógépet az antivírus szoftverrel, mely több alkalommal is digitális kártevőket észlelt. Ezek egyike az Equation egy új variánsa volt, 7zip állományba archiválva. A fertőző csomagot továbbította a szoftver a Kaspersky Lab számára kielemzésre, ahol kiderült, hogy az Equation forráskódja mellett több malware-mintát is tartalmaz.

A felfedezést követően az elemzők jelentették az incidenst a Kaspersky vezetőjének. A társalapító Eugene Kaspersky kérésére az archívumot el kellett távolítani a vállalat összes rendszeréből. A róla szerzett információkat egyetlen más, IT-biztonsági vállalattal sem osztották meg. Ugyanakkor azt is állítja a Kaspersky, hogy egy valakinek mégis csak beszámoltak a történtekről: a témában kompetens amerikai kormányzati hivatalt a bevett gyakorlat szerint tájékoztatták.

Ezt követően csak 2015 februárjában álltak nyilvánosság elé az Equation Groupról szóló információkkal (feltételezések szerint ez a csoport felelt az NSA ellopott hackereszközeinek tárolásáért). A nyomozás során hasonló incidensre az elmúlt három évben nem bukkantak, és egyetlen olyan bizonyítékot sem találtak, melynek során a Kaspersky digitális fegyverként használta volna saját szoftverét, és olyan kulcsszavak után keresett volna, mint "top secret" vagy "classified".