È stato solo un'incidente. Kaspersky Lab non è colpevole di alcuna azione di cyberspionaggio, secondo quanto emerso da un'indagine condotta dalla stessa società di sicurezza informatica russa. Il report aggiunge nuovi dettagli alle dichiarazioni di innocenza fatte a fine ottobre dopo le accuse, scagliate dal Wall Street Journal, secondo cui l'antivirus di Kaspersky nel 2014 avrebbe agevolato un hacker russo in un'opera di furto dati da un computer di un impiegato della National Security Agency (Nsa) statunitense. Da lì a poco, il software era stato per così dire “scagionato” da un'indagine della Bsi, l’agenzia nazionale per la cybersecurity tedesca.
Ora, a dimostrazione della propria estraneità ai fatti, l'azienda avanza alcune prove oggettive: dati di telemetria, che descrivono le attività sospette registrate sul Pc dell'impiegato dell'Nsa durante l’arco temporale dell’incidente. Per garantire una imparzialità di giudizio, inoltre, sono stati coinvolgi nell'indagine interna “numerosi analisti, inclusi ricercatori di origine non russa e che lavorano all’esterno dei confini russi”, ha sottolineato la società. Ebbene, da questi dati emergono le tappe della vicenda: l'infezione scagliata sul Pc del dipendente Nsa (che incautamente si era portato il lavoro a casa, alla faccia della sicurezza) l'11 settembre del 2014 da parte del gruppo cybercriminale Equation; l'installazione, da parte dell'utente, di un software pirata (un file Iso di Microsoft Office 2013, associato a un tool di attivazione non legale) e la conseguente disattivazione temporanea dell'antivirus di Kaspersky, che avrebbe altrimenti impedito la procedura.
Nella versione pirata di Office era contenuta la backdoor Mokes, un malware che consente di ottenere l’accesso remoto al computer e, dunque, di spiare le attività dell'utente e i suoi dati. Quando riattivato, l'antivirus ha fatto il suo dovere, accorgendosi della backdoor e impedendo che essa si collegasse a un noto server di comando e controllo.“Il primo rilevamento del programma di installazione nocivo è avvenuto il 4 ottobre 2014”, si spiega nel report.
Per circa tre settimane, dunque, l'infezione ha potuto agire indisturbata, prima di essere scoperta dall'antivirus. E qui si innesta un passaggio un po' delicato: uno dei file rilevati come nuova variante del malware Equation era un archivio 7zip, che è stato inviato al Kaspersky Virus Lab per ulteriori analisi e si è poi scoperto che questo conteneva “numerosi file, inclusi tool noti e sconosciuti del gruppo Equation, codice sorgente e documenti classificati”. Ma non c'è niente di losco in tutto questo, a detta del vendor russo. L'invio dell'archivio zippato ai laboratori di Kaspersky, infatti, nient'altro era se non una procedura prevista dai termini di contratto dell'antivirus e motivata dalla necessità di comprendere meglio l'infezione. Il ricercatore che per primo ha osservato i documenti e il codice sorgente degli hacker, inoltre, ha riferito l'incidente al Ceo in persona, Eugene Kaspersky, il quale ha chiesto e ottenuto che l'archivio, il codice sorgente e i file classificati fossero “eliminati dai sistemi dell’azienda nell’arco di pochi giorni”, ha spiegato l'azienda. Ammettendo però che “i file binari legittimi del malware sono tuttora presenti nell’archivio di Kaspersky Lab, che non è stato condiviso con alcuna terza parte”, dato che questo materiale è utile per migliorare e aggiornare l'antivirus. In seguito all'incidente era stata inaugurata una nuova policy per tutti gli analisti di malware: da allora sono obbligati a eliminare ogni materiale potenzialmente classificato, con cui entrino accidentalmente a contatto nell'ambito del proprio lavoro.
“Il software Kaspersky Lab si è comportato come previsto”, si legge fra le conclusioni del report, “e ha segnalato ai ricercatori gli alert relativi alle firme impostate per rilevare i malware del gruppo Equation, all’epoca già sotto indagine da sei mesi. Tutto ciò in conformità alla descrizione delle funzionalità del prodotto dichiarati, degli scenari e dei documenti legali che l'utente ha accettato prima dell'installazione del software. Le informazioni potenzialmente classificate sono state scaricate poiché erano contenute in un archivio rilevato attraverso una firma relativa al malware del gruppo Equation”.
Kaspersky Lab, dunque, non sa nulla del codice sorgente del malware, perché in seguito all'analisi è stato cancellato “nell'arco di pochi giorni”. Tutte le altre informazioni ottenute, inoltre, “non sono state condivise con alcuna terza parte”, a detta dell'azienda. “Al contrario di quanto riportato dai media, non è stata trovata alcuna prova che i ricercatori di Kaspersky Lab abbiano mai provato a impostare firme 'silenziose' finalizzate a cercare documenti contenenti parole come 'top secret', 'classificato' o simili”.
Queste assicurazioni e le tredici pagine del report non bastano, però, a smontare i sospetti di alcuni analisti e ricercatori di sicurezza statunitensi, che considerano Kaspersky un complice degli hacker. La spiegazione dell'attacco sopra descritta è “molto, molto credibile” secondo Dave Aitel, ex analista dell'Nsa, ma a suo dire non risponde e non smentisce alcuna delle prove che il governo statunitense avrebbe a carico della società russa.