Kaspersky verteidigt sich detaillierter gegen Vorwürfe

Die Vorwürfe gegen Kaspersky sind hart: Vertrauliche NSA-Daten sollen wegen Kaspersky via privaten Rechner eines NSA-Contractors zu russischen Hackern gelangt sein
 
Aufgeworfen hatte die Vorwürfe gegen das russische Unternehmen die US-Zeitung 'Wall Street Journal'. Beweise fehlten bislang. Nun hat Kasperksy einen internen Untersuchungsbericht zu den Vorwürfen publiziert, der eine kürzlich publizierte Medienmitteilung untermauern soll.
 
Erste Kernaussage: Zwischen 11. September 2014 und 9. November 2014 wurden vertrauliche Files mehrfach auf Kaspersky-Server heruntergeladen. Dies geschah, weil die installierte Antivirus-Software von Kaspersky Malware der Equation APT Group erkannt hatte.
 
"Was als potentiell vertraulich eingestufte Information gilt, wurde zurückgehalten, weil es in einem Archiv enthalten war, das auf eine Equation-spezifische APT-Malware-Signatur abzielte", so Kaspersky. "Neben Malware enthielt das Archiv dem Anschein nach auch Quellcode für die Equation APT-Malware und vier Word-Dokumente mit Klassifizierungsmarkierungen. Kaspersky Lab besitzt keine Informationen über den Inhalt der Dokumente, da diese innerhalb weniger Tage gelöscht wurden."
 
Die Russen hätten nur die Malware behalten: "Nur der Binärcode der Malware ist interessant", ausserdem habe man die Vertraulichkeit bemerkt. Seither habe man keine solchen Vorfälle entdeckt und die Daten hätten das Kaspersky-Netzwerk nie verlassen.
 
Die Mokes-Backdoor und die Russen und die Chinesen
Die Equation APT Group ist eine Hackergruppe, die der US-amerikanischen National Security Agency (NSA) nahestehen soll. Diese wurde von Kaspersky selbst geoutet. "Die Software von Kaspersky Lab funktionierte wie erwartet und benachrichtigte die Kaspersky-Analysten über Signaturen, die zur Erkennung der bereits seit sechs Monaten untersuchten Malware der Equation APT Group geschrieben wurden. Dies alles geschah im Einverständnis mit der Beschreibung der ausgewiesenen Produktfunktionalität, Szenarien sowie den rechtsgültigen Dokumenten, denen der Nutzer vor der Installation der Software zugestimmt hat", hält Kaspersky im Bericht erneut fest.
 
Ebenso bekräftigt Kaspersky, der NSA-Mann habe eine Raubkopie von Microsoft Office 2013 installiert samt dem illegalen Aktivierungstool "keygen". Um die Raubkopie installieren zu können, habe der Mann den Antiviren-Scanner erst deaktivieren müssen und so auch die Malware – Backdoor.Win32.Mokes.hvl – eingefangen.
 
Im 13-seitigen Bericht wird die Malware spezifiziert: Es habe sich um die Mokes Backdoor gehandelt, auch bekannt unter den Trojanernamen "Smoke Loader" und "Smoke Bot". Diese sei zwar in russischen Foren zuerst aufgetaucht, aber, so Kaspersky, "im Zeitraum von September bis November 2014 wurde die Command-and-Control-Server dieser Malware vermutlich von einer chinesischen Einheit unter dem Namen "Zhou Lou" registriert".
 
Kaspersky stellt Hintergrund-Informationen zu Mokes bereit (PDF).
 
Zudem sei neben der "Mokes Backdoor" "möglicherweise" weitere Malware auf dem NSA-Mitarbeiter-Laptop gewesen. So bilanziert die Firma sehr vorsichtig: "Mögliche Infektionen durch Nicht-Equation-Malware weisen auf die Möglichkeit hin, dass Nutzerdaten infolge eines Remotezugriffs auf den Computer an eine unbekannte Anzahl von Dritten weitergegeben worden sein könnten."
 
Viel Möglichkeitsform bei Kaspersky. Nichtsdestotrotz steht der Bericht in einem bemerkenswerten Widerspruch zu den von anonymen Quellen im 'Wall Street Journal' geäusserten Vorwürfen. Die NSA nahm bislang keine Stellung.
 
Den vollständigen Untersuchungsbericht findet man online. (mag)