Kaspersky: Wel de bron maar niet de oorzaak webaanval NSA

Stuxnet-worm

De Amerikaanse stuxnet-worm moest het Iraanse kernprogramma saboteren. Duqu 2.0 is daarop gebaseerd

Het schijnt dat een nogal moeilijk voorstelbare opeenvolging van beveiligingsfouten bij een bedrijf dat werkte voor de veiligheidsdienst NSA ertoe heeft geleid dat digitaal inbreekgereedschap van die dienst bij het Russische webbeveiligingsbedrijf Kaspersky Lab terecht is gekomen. Althans dat stelt dat bedrijf. Kaspersky werd er door de Amerikaanse autoriteiten van beticht gemene zaak te hebben gemaakt met de Russische veiligheidsdiensten of tenminste met staatsondersteunde e-krakers. Die maakten dankbaar gebruik van het lek. Kaspersky, waarvan de antivirusprogrammatuur inmiddels door de Amerikaanse overheid in de ban is gedaan, probeert  zijn onschuld te bewijzen.

Kaspersky betwist niet ‘inbraakgereedschao’ te hebben aangetroffen op de computer van een gebruiker van zijn antivirusprogramma, die naar alle waarschijnlijkheid werkte voor de NSA. Volgens Kaspersky was het, overigens, een NSA-medewerker, die ongeoorloofd inbraakprogrammatuur op zijn privécomputer had staan. Het Russische bedrijf stelt dat bestudering van het gebeurde heeft geleerd dat er een hele serie beveiligingsmissers bij die gebruiker (al of niet NSA-medewerker) is voorafgegaan aan de versturing van de gewraakte NSA-programmatuur naar de computers van Kaspersky..
Volgens het verhaal van Kaspersky gebruikte het bedrijf (de onderaannemer of de NSA) het antivirusprogramma dat op 1 september 2014 de kwaadaardige code ontdekte die toegeschreven werd aan de Equation Group, de codenaam van het beveiligingsbedrijf voor wat het kraakteam van de NSA zou zijn.
Enige tijd later deïnstalleerde het bedrijf/die specifieke gebruiker kennelijk het antivirusprogramma. Wanneer is niet duidelijk. Op 4 oktober werd het weer opgehaald, geïnstalleerd en ingeschakeld, maar de gebruiker schijnt ook illegale programmatuur te hebben geïnstalleerd op die computer zoals blijkt uit de activeringscodegenerator van een illegale versie van Office op die computer. De kwaadaardige code kwam van de codegenerator, een trojaan, en was een volgroeide achterdeur die derden derden de kans gaf toegang tot de computer van de gebruiker te krijgen.”

Toen de gebruiker het antivirusprogramma weer had geïnstalleerd werd de computer enkele malen doorzocht. Dat ontdekte de kwaadaardige code en blokkeerde die, zoals dat hoort. Het programma ontdekte ook het digitale inbreekgereedschap van de NSA en merkte dat ook aan als kwaadaardig, een ‘nieuwe variant’. De gebruiker had aangevinkt dat die nieuwe kwaadaardige code werd doorgestuurd naar Kaspersky voor analyse.

Van daar af werd de zaak meteen naar de grote baas Eveni Kaspersky gestuurd. “De analist die het archief binnenkreeg rapporteerde dat aan mij en we besloten dat onmiddellijk van al onze computers te wissen. Niets werd met iemand gedeeld en er zijn geen nieuwe gevallen van die gebruiker binnengekomen.”

Het wringt

Het verhaal van Kaspersky komt overeen met de aanvankelijke beschuldigingen, maar wringt op sommige onderdelen. Zo zou volgens de Wall Street Journal het een en ander in 2015 zijn gebeurd. De grote vraag is natuurlij of Kaspersky in deze toch geen gemene zaak gemaakt heeft met de Russische veiligheidsdiensten (die er vervolgens hun voordeel mee zouden hebben gedaan).
Volgens de Wall Street Journal zou het Kaspersky-programma gezocht hebben naar begrippen als ‘top secret’ en naar de naam van het geheime inbreekprogramma. De Amerikaanse krant zou dat uit kringen van de Amerikaanse regering hebben vernomen (met fabuleur Trump als president weinig betrouwbaar).
Evgeni Kaspersky ontkent heftig. “Er is daarvoor geen deugdelijk bewijs geleverd.” In een eerdere verklaring had Kaspersky gezegd dat de systemen van Kaspersky Lab mogelijk door Russische spionnen zou zijn gekraakt, maar die mogelijkheid sluit hij nu uit. “Als dat zo is dan vragen we ons te voorzien van verifieerbare informatie.”
In 2015 is Kaspersky Lab al eens digitaal bestookt. Tientallen computers in het Kaspersky-netwerk waren besmet met het spionageprog Duqu 2.0, mogelijk afkomstig uit Israël. Kaspersky: “We hebben er alle vertrouwen in dat alle troep daarvan is verwijderd. Bovendien hebben we de aanval publiek gemaakt en we hebben aangeboden slachtoffers en geïnteresseerden te helpen deze bedreiging teniet te doen.”
“Als resultaat van een webaanval kunnen mensen gegevens kwijtraken, kan een belangrijke infrastructuur worden stilgelegd en kunnen er zelfs slachtoffers vallen. Naar mijn mening veelt webbeveiliging geen compromissen.”

Bronnen: der Spiegel, the Guardian

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *