NSA-Leak: Kaspersky veröffentlicht Untersuchungsergebnis

Kaspersky Lab wehrt sich weiter gegen Vorwürfe aus den USA, seine Software sei eingesetzt worden, um als vertraulich eingestufte Daten vom privaten PC eines NSA-Mitarbeiters zu entwenden. Das Wall Street Journal hatte vor einem Monat berichtet, die NSA habe wichtige Daten verloren, darunter auch Exploits für möglicherweise noch unbekannte Sicherheitslücken. Bei dem Diebstahl sollte zudem eine Software von Kaspersky Lab zum Einsatz gekommen sein. Die russische Sicherheitsfirma hat jetzt die weiteren Ergebnisse einer internen Untersuchung veröffentlicht und will mit den gesammelten Fakten „jegliche Bedenken adressieren“.

Laut Kaspersky bestätigt der neue Bericht vorläufige Ergebnisse, die es im letzten Monat bekannt gab. Demnach übertrug eine Sicherheitssoftware von Kaspersky die fraglichen Daten im Rahmen eines Malware-Funds im September 2014 an Kaspersky. Das gehöre zur branchenüblichen Funktionsweise solcher Sicherheitslösungen, um Malware untersuchen und den Nutzer schützen zu können, der dieser Praxis außerdem vor der Installation der Software zustimme.

Die Kaspersky-Software stieß dem Bericht zufolge 2014 auf dem Rechner des offenbar unvorsichtigen Nutzers auf Signaturen einer Malware der Equation Group, einer Offensiv-Einheit des US-Auslandsgeheimdienstes NSA. Wenig später soll der wenig sicherheitsbewusste Nutzer – mit einer IP-Adresse, die räumliche Nähe zur NSA-Zentrale in Fort Meade, Maryland zeigte – außerdem eine Raubkopie von Microsoft Office 2013 mit einem illegalen Aktivierungstool installiert haben, das mit Malware infiziert war.

Um das illegale Tool mit den dafür typischen Sicherheitsrisiken ausführen zu können, musste der Nutzer das Kaspersky-Produkt zwischenzeitlich deaktivieren. Als die Antivirus-Software nach einem unbestimmten Zeitraum wieder aktiviert wurde, erkannte sie verschiedene Malware-Varianten, darunter ein 7zip-Archiv, das zur genaueren Überprüfung zum Kaspersky Virus Lab übertragen wurde.

In diesem Archiv wiederum fanden sich Tools der Equation Group, Quellcode und als geheim eingestufte Dokumente. Der bearbeitende Analyst informierte darüber CEO Eugene Kaspersky, heißt es in dem Bericht weiter, der die schnelle Löschung des Archivs, des Quellcodes und der anscheinend vertraulichen Daten anwies. Bei Kaspersky Lab gespeichert blieben demnach nur die Binärdateien erkannter Malware.

„Kaspersky Lab hat die Dateien aus zwei Gründen gelöscht und wird auch in Zukunft weiterhin so verfahren“, versichert das Unternehmen. „Erstens ist zur Verbesserung des Schutzes nur der Binärcode der Malware interessant und zweitens hat das Unternehmen bezüglich möglicherweise vertraulich geltendem Material Bedenken. In Folge des Vorfalls wurden alle Analysten über eine neu erstellte Richtlinie angewiesen, von nun an möglicherweise vertrauliches Material, das zufälligerweise anlässlich der Untersuchung von Malware in ihren Besitz gelangte, stets zu löschen.“

Eine weitere Erkenntnis der Untersuchung war, dass die Sicherheitssoftware reichlich Malware auf dem PC des NSA-Mitarbeiters erkannte, neben den Equation-Tools nicht weniger als 121 Stücke von Malware-Varianten wie Backdoors, Exploits, Trojaner und AdWare . Unter anderem war der Rechner demnach mit der Backdoor Mokes infiziert, auch bekannt als Smoke Bot oder Smoke Loader. Diese Malware wurde ab 2011 in russischen Untergrundforen angeboten. Ihre Kommando- und Kontrollserver wurden laut Kaspersky im fraglichen Zeitraum von September bis November 2014 vermutlich von einer chinesischen Gruppe mit dem Namen „Zhou Lou“ registriert. Angesichts dieser Backdoor-Infektion und weiteren möglichen Infektionen könnte es daher sein, dass „Nutzerdaten infolge „eines Remotezugriffs auf den Computer, an eine unbekannte Anzahl von Dritten weitergegeben“ wurden. „Angesichts der möglichen Sicherheitsberechtigungen des PC-Besitzers könnte der Nutzer ein primäres Ziel von Nationalstaaten gewesen sein“, sagte ein Kaspersky-Sprecher gegenüber der BBC.

„Es ist äußerst glaubhaft“, zitiert Ars Technica den früheren NSA-Analysten und langjährigen Kaspersky-Kritiker Dave Aitel zu den jetzt von Kaspersky Lab vorgelegten Informationen. „Aber meine persönliche Einschätzung ist, dass es nicht adressiert, was die US-Regierung gegen Kaspersky in der Hand hat.“ US-Behörden unterstellen Kaspersky schon länger Verbindungen zu russischen Geheimdiensten – oder zumindest eine kompromittierte Software, die von regierungsnahen Hackern für ihre Zwecke genutzt werden konnte. Mit solchen Begründungen verbot die Trump-Regierung US-Behörden den Einsatz von Kaspersky-Software.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sah dagegen keinen Anlass zu derartigen Maßnahmen. Es fühlte sich sogar veranlasst, in einer Pressemitteilung klarzustellen: „Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.“