{"id":196459,"date":"2017-11-18T01:51:00","date_gmt":"2017-11-18T00:51:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196459"},"modified":"2017-11-17T20:35:19","modified_gmt":"2017-11-17T19:35:19","slug":"kasperky-legt-weiteren-bericht-wegen-nsa-hack-vor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/18\/kasperky-legt-weiteren-bericht-wegen-nsa-hack-vor\/","title":{"rendered":"Kasperky legt weiteren Bericht wegen NSA-Hack vor"},"content":{"rendered":"

Antivirus-Hersteller Kaspersky hat einen Abschlussbericht bez\u00fcglich der 'NSA-Aff\u00e4re', bei der Geheimdokumente von russischen Hackern entwendet wurden, vorgelegt.<\/p>\n

<\/p>\n

\"\"Antivirus-Hersteller Kaspersky steht ja unter Beschuss der US-Beh\u00f6rden, weil er mit seiner Software Beh\u00f6rdenrechner ausspioniere und so einen Hack mit Abfluss von von NSA-Dokumenten von einem Notebook erm\u00f6glicht habe. Zum Hintergrund: Im Oktober 2017 wurde der russische Antivirus-Hersteller Kaspersky massiv beschuldigt. Installierte Kaspersky Antivirus-Software sei schuld, dass NSA-Geheimdokumente von einem Notebook eines Kontraktors in die H\u00e4nde russischer Hacker fielen.<\/p>\n

Ich hatte im Blog-Beitrag Theorie: Wie Kaspersky zur Spionage benutzt wurde<\/a> u.a. dar\u00fcber berichtet. F\u00fcr Kaspersky ist der Verdacht, als Trojaner missbraucht zu werden, nat\u00fcrlich existenzbedrohend. In den letzten Wochen legte die Firma daher bereits interne Untersuchungen, ob und wie Dokumente vom Virenscanner auf die Kaspersky-Server gelangten, offen.<\/p>\n

Ein Fall ist besonders abenteuerlich. Ein NSA-Angestellte benutzte eine gecrackte Office-Version mit Backdoor zum Arbeiten und hatte Geheimdokumente auf seinem Rechner. Die Kaspersky Antivirus-Software schlug Alarm und lud Dateien hoch. Bei anderen Funden schlug die Antivirus-Software an, weil die NSA-Mitarbeiter Schadcode von Exploits der NSA auf ihren Rechnern speicherten.<\/p><\/blockquote>\n

Nun hat Kaspersky einen weiteren Bericht<\/a> vorgelegt, der ein wenig Licht in die Angelegenheit bringt.<\/p>\n

F\u00fcr fast zwei Monate erhielt ein Server der in Moskau ans\u00e4ssigen Kaspersky Labs im Jahr 2014 vertrauliche Materialien der Nationalen Sicherheitsbeh\u00f6rde (NSA) von einem schlecht abgesicherten Windows-Rechner \u00fcbermittelt.<\/p>\n

Der klassifizierte Quellcode, sowie weitere Dokumente und ausf\u00fchrbare Bin\u00e4rdateien waren auf einem Computer gespeichert, f\u00fcr den eine IP-Adresse f\u00fcr Verizon FIOS-Kunden in Baltimore, etwa 20 Meilen von der NSA-Fort Meade, Maryland, reserviert war.<\/p>\n

Die Server von Kaspersky Lab haben ab dem 11. September 2014 bis zum 9. November dieses Jahres die vertraulichen Dateien mehrmals heruntergeladen. Grund: Die auf dem Computer installierte Antivirensoftware von Kaspersky Lab hatte festgestellt, dass auf dem Rechner sch\u00e4dliche Code der Equation Group enthielt. Die Equation Group ist eine zur NSA geh\u00f6rende Hackergruppe, die mindestens 14 Jahre lang operierte, bevor Kaspersky sie im Jahr 2015 enttarnte.<\/p>\n

Zu den Uploads, die das Kaspersky-Programm – wie andere AV-Software auch – automatisch ausl\u00f6ste, wenn es auf verd\u00e4chtige Software st\u00f6\u00dft, die eine weitere \u00dcberpr\u00fcfung rechtfertigte, geh\u00f6rte ein 45 MB gro\u00dfes 7-Zip-Archiv. Dieses enthielt Quellcode, b\u00f6sartige ausf\u00fchrbare Dateien und vier Dokumente mit US-Regierungskennzeichen. Ein Unternehmensanalyst, der das Archiv manuell \u00fcberpr\u00fcfte, stellte schnell fest, dass es vertrauliches Material enthielt.<\/p>\n

Innerhalb weniger Tage und unter der Leitung von CEO und Gr\u00fcnder Eugene Kaspersky, l\u00f6schte die Firma alle Materialien au\u00dfer den sch\u00e4dlichen Bin\u00e4rdateien. Die Firma erstellte dann eine spezielle Softwareanpassung, um zu verhindern, dass die 7-Zip-Datei erneut von der AV-Software auf die eigenen Server hochgeladen werden konnte.<\/p>\n

Laut Kaspersky wurden dieses Dokumente niemals an Dritte weiter geleitet und wohl auch nicht von den Unternehmensservern abgezogen. Im Bericht geht Kaspersky aber n\u00e4her auf die vom NSA-Angestellten installierte Raubkopie von Microsoft Office-Version ein, die durch eine Backdoor infiziert war.<\/p>\n

Der Bericht besagt, dass Kaspersky AV den Trojaner Smoke Loader und Smoke Bot am 4. Oktober entdeckt hat. Das war 22 Tage nachdem das AV-Programm zum ersten Mal die Gleichungsgruppendateien entdeckt hatte und 15 Tage nachdem Kaspersky die 7-Zip-Datei heruntergeladen hatte. Damit es die Raubkopie von Office mit der Backdoor installiert werden kann, muss ein Benutzer das AV-Programm vor\u00fcbergehend deaktivieren. Die Mitarbeiter von Kaspersky Lab vermuten, dass der Benutzer den Schutz deaktiviert hat, als er versucht, die raubkopierte Version von Office zu installieren, und nachdem sie installiert wurde, schaltete sich der AV wieder ein.<\/p>\n

Aus der Pressemitteilung des Unternehmens<\/a>\u00a0lassen sich folgende Details herausziehen.<\/p>\n