Kaspersky legt Bericht zum Datenverlust bei der NSA vor

Kaspersky Lab hat nun einen ausführlichen Untersuchungsbericht vorgelegt, mit dem sich das Unternehmen gegen Vorwürfe aus den USA wehren will, wonach seine Software dabei geholfen habe als vertraulich eingestufte Daten der NSA zu entwenden. Vor einem Monat hatte das Wall Street Journal berichtet, die NSA habe wichtige Daten, darunter auch Exploits für unbekannte Sicherheitslücken verloren. Bei dem Vorfall soll Software von Kaspersky Lab eine Rolle gespielt haben.

Das Unternehmen hatte zwar grundsätzlich eingeräumt, dass Software von ihm in den Vorfall involviert war, hatte aber eine gezielte Absicht dahinter verneint. Die Daten seien 2014 im Rahmen eines Malware-Funds vom privaten PC eines NSA-Mitarbeiters an Server von Kaspersky übertragen worden – so wie das bei einer erkannten Malware eben üblich ist.

Mit der Veröffentlichung der Ergebnisse der anschließenden internen Untersuchung und der zu dem Vorfall gesammelten Fakten untermauert das Unternehmen diese Argumentation nun. Dem Bericht zufolge übertrug eine Sicherheitssoftware von Kaspersky die Daten im September 2014 an Kaspersky, um als Malware erkannten Code näher untersuchen zu können. Das ist eine in der Branche übliche Vorgehensweise.

Der Bericht fördert allerdings zahlreiche Versäumnisse auf Seiten des NSA-Mitarbeiters zutage. Auf seinem Rechner hätten sich Signaturen einer Malware der Equation Group gefunden. Die wird dem US-Auslandsgeheimdienstes NSA zugeordnet. Mit einer IP-Adresse, die räumliche Nähe zur NSA-Zentrale in Fort Meade, Maryland nahelegt, habe er außerdem eine unlizenzierte Kopie von Microsoft Office 2013 mit einem illegalen, zudem mit Malware infizierten, Aktivierungs-Tool installiert.

Um das Tool ausführen zu können, habe der Nutzer das Kaspersky-Produkt vorübergehend deaktiviert. Als die Antivirus-Software wieder aktiviert wurde, erkannte sie mehrere Schadprogramme. Darunter befand sich auch ein 7zip-Archiv. Das wurde zur Überprüfung zum Kaspersky Virus Lab übertragen.

Dieses Archiv enthielt die Tools der Equation Group, Quellcode und als geheim eingestufte Dokumente. Der mit der Untersuchung befasste Analyst habe darüber CEO Eugene Kaspersky informiert. Der habe dann angeordnet, das Archiv, den Quellcode und die offenbar vertraulichen Daten zu löschen. Gespeichert blieben bei Kaspersky demnach nur die Binärdateien der erkannten Malware.

“Erstens ist zur Verbesserung des Schutzes nur der Binärcode der Malware interessant und zweitens hat das Unternehmen bezüglich möglicherweise vertraulich geltendem Material Bedenken. In Folge des Vorfalls wurden alle Analysten über eine neu erstellte Richtlinie angewiesen, von nun an möglicherweise vertrauliches Material, das zufälligerweise anlässlich der Untersuchung von Malware in ihren Besitz gelangt, stets zu löschen”, erklärt das Unternehmen in seinem Bericht.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Der Untersuchung zufolge hatte die Kaspersky-Software damals 121 als Malware eingestufte Programme auf dem Rechner des NSA-Mitarbeiters gefunden. Eine davon war die Backdoor Mokes, die auch als Smoke Bot oder Smoke Loader bezeichnet wird. Deren Kommando- und Kontrollserver wurden laut Kaspersky von September bis November 2014 vermutlich von der chinesischen Gruppe “Zhou Lou” betrieben. Es könne daher auch sein, dass Daten infolge “eines Remotezugriffs auf den Computer, an eine unbekannte Anzahl von Dritten weitergegeben” wurden sagte ein Kaspersky-Sprecher gegenüber der BBC.

US-Behörden unterstellen Kaspersky seit Anfang des Jahres immer nachdrücklicher die Verbindung zu russischen Behörden. Das führte zunächst dazu, dass Kaspersky von der Liste der zugelassenen Lieferanten gestrichen wurde und zuletzt von der US-Regierung der Einsatz von Kaspersky-Software in Behörden sogar ausdrücklich untersagt wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht dagegen keinen Anlass zur Besorgnis. Es betonte in einer Pressemitteilung sogar: “Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.”

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • Alles Klar immer Russland ist schuld uhm nein Amerika sind die bösewichten!

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

1 Woche ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago