Beheer

Security
Security breach

Kaspersky: lekkende NSA-pc zat vol warez

De thuis-pc van een NSA-man waarlangs aanvalscode is gestolen, had meer dan alleen een Office-keygen aan boord.

© CC BY 2.0 - Flickr.com Blogtrepreneur
16 november 2017

De thuis-pc van een NSA-man waarlangs aanvalscode is gestolen, had meer dan alleen een Office-keygen aan boord.

De gecompromitteerde computer van een thuiswerkende NSA-medewerker is mogelijk meermaals besmet, wellicht door verschillende partijen. Dit is één van de conclusies die securityleverancier Kaspersky Lab trekt uit aanvullend intern onderzoek naar de zaak van de lekkende NSA-pc.

De Russische leverancier van securitysoftware wordt namelijk verdacht van een centrale rol in deze affaire. Kaspersky Lab is door Amerikaanse bronnen ervan beschuldigd dat het misbruikt zou zijn voor het datalek waarlangs NSA-geheimen en malwaretools buiten die spionnenorganisatie zijn gekomen. De claim hierbij is dat hackers in opdracht van de Russische overheid via de Kaspersky-software de locatie van de NSA-data hebben achterhaald, om die buit vervolgens te stelen.

Topje van de ijsberg

De beschuldiging is al weerlegd met de ontdekking dat de lekkende NSA-medewerker een illegale sleutelaanmaaktool voor Microsoft Office had gebruikt. Hierdoor was malware binnengekomen op zijn pc, bleek uit de eerste onderzoeksresultaten. Deze keygen is echter het topje van de ijsberg, blijkt uit verder onderzoek door Kaspersky Lab.

De illegale activeringstool voor Office 2013 was zelf al geïnfecteerd met malware, wat de beruchte Mokes-backdoor blijkt te zijn. Deze heimelijk ingang is geactiveerd doordat de NSA-medewerker vóór het draaien van de keygen zijn installatie van Kaspersky-securitysoftware tijdeljik had uitgeschakeld. Dit alles is eind 2014 gebeurd, tussen 11 september en 17 november, meldt Kaspersky Lab nu in het aanvullende onderzoeksrapport.

Chinese link?

De onderzoekers merken daarin op dat Mokes (ook bekend als Smoke Bot en Smoke Loader) al sinds 2011 te koop is op Russische ondergrondse fora. Gedurende de periode van het NSA-lek waren de command&control (c2c) servers van deze malware geregistreerd op naam van een vermoedelijk Chinese hacker. Kaspersky zegt deze persoon of partij nog verder te onderzoeken en dat dit mogelijk tot een vervolgrapport leidt.

De vermeende link naar China is echter niet het enige spoor. Nadere analyse leert de Kaspersky-onderzoekers dat de door Mokes geïnfecteerde pc meer malware aan boord had. Dit dus afgezien van de NSA-eigen aanvalscode, die door de securitysoftware na heractivering gelijk is gedetecteerd en gedeeltelijk ge-upload naar Kasperky Lab voor analyse.

Backdoors, exploits, Trojans en adware

Er zijn ook andere illegale activeringstools en keygens op dezelfde machine aangetroffen, schrijven de security-experts van de Russische leverancier. Het geïnstalleerde beveiligingspakket heeft na heractivering door de thuiswerkende NSA-medewerker vele andere exemplaren van malafide programma’s aangetroffen.

“Gedurende een periode van twee maanden heeft het product alarm geslagen met betrekking tot 121 gevallen van niet aan Equation gerelateerde malware: backdoors, exploits, Trojans en AdWare.” Het valt echter niet met zekerheid te zeggen of die malware is uitgevoerd in de periode dat de Kaspersky-software was uitgeschakeld.

MEER AG CONNECT?

Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.