Kaspersky: Keine Weitergabe von NSA-Malware an russische Hacker

Der russische Softwarehersteller Kaspersky hat eingestanden, durch die eigene Antiviren-Software an mutmaßlich von der NSA entwickelte Malware gelangt zu sein. Die sei aber umgehend und auf Veranlassung von Eugene Kaspersky persönlich gelöscht und an niemanden weitergegeben worden, versichert das Unternehmen in einem Blogeintrag.

Darin präsentiert Kaspersky die vorläufigen Ergebnisse eigener Analysen zu den Vorgängen, die in den USA zu heftigen Angriffen auf das russische Unternehmen geführt hatten. Kaspersky sei demnach nicht dafür verantwortlich, sollten tatsächlich NSA-Werkzeuge in die Hände russischer Hacker gelangt sein.

Mutmaßliche NSA-Malware erkannt

Der Zusammenfassung zufolge untersuchte Kaspersky 2014 intensiv die Aktivitäten der sogenannten Equation Group; routinemäßig seien auch die zuständigen US-Behörden informiert worden, als dabei Infektionen mit der Malware der Gruppe in den USA entdeckt wurden. Hinter der Hackergruppe, die mit ausgefeilten Methoden Regierungen und Unternehmen in Dutzenden Ländern angegriffen haben soll, steckt mutmaßlich der US-Geheimdienst NSA. In einem besonderen Fall sei auf einem Rechner in den USA unfertige Malware der Gruppe erkannt und als Schadcode durch das aktivierte Kaspersky Security Network automatisch an den Hersteller übertragen worden.

Danach sei auf dem Rechner offenbar eine nicht-legale Kopie von Microsoft Office heruntergeladen und dank eines Schlüsselgenerators aktiviert worden. Da der malwareverseucht war, habe der Besitzer zuvor die Antivirensoftware deaktiviert. Erst als die wieder aktiviert wurde, habe sie die Hintertür entdeckt, die von der Malware aus dem Generator eingerichtet worden war und sie blockiert. Als die Software dann zu Virensuchläufen gestartet wurde, sei auch ein 7zip-Archiv entdeckt worden, das neue Varianten von Malware der Equation Group enthielt. Die sei automatisch an Kaspersky gegangen, wo sie aber umgehend und nach Rücksprache mit Konzernchef Eugene Kaspersky gelöscht wurde, als deutlich wurde, worum es sich handelte. Das Archiv sei nicht an Dritte weitergegeben worden.

Nachdem Kaspersky dann 2015 mit seinen Erkenntnissen zur Equation Group an die Öffentlichkeit gegangen war, hat das Unternehmen nach eigenen Angaben mehrere Computer entdeckt, auf denen Kaspersky installiert war und Malware der Hackergruppe lag. Dabei habe es sich wohl um Honeypots gehandelt, mit denen analysiert werden sollte, wie Kaspersky mit der Malware umgehen würde. Die dabei gesammelte Software sei nicht gesondert ausgewertet worden. In den Jahren 2015, 2016 und 2017 seien keine damit zusammenhängenden Vorgänge mehr aufgefallen und auch kein weiterer Einbruch wie der durch mutmaßlich israelische Agenten sei entdeckt worden. Kaspersky-Software habe auch zu keiner Zeit nicht-bösartige streng geheime Dokumente entdeckt, also immer nur Malware analysiert.

Zwei Versionen einer Geschichte

Diese Beschreibung sei eine "akkurate Analyse des Vorfalls von 2014", wie Kaspersky erklärt. Damit bezieht sich das Unternehmen höchstwahrscheinlich auf jenen Fall, den das Wall Street Journal vor wenigen Tagen öffentlich gemacht hat, auch wenn sich der 2015 zugetragen haben soll. Demnach soll ein Mitarbeiter eines NSA-Dienstleisters streng geheime "Dokumente" mit nach Hause genommen und auf seinem privaten PC geöffnet haben. Der sei dann ins Visier staatlicher Hacker geraten, angeblich weil sie durch die Antivirensoftware von Kaspersky darauf aufmerksam wurden. Wie das genau abgelaufen sein soll, hatte die US-Zeitung nicht erklärt.

[Update 25.10.2017 – 16:00 Uhr] Inzwischen hat Kaspersky gegenüber heise online noch erläutert, warum das gefundene Archiv gelöscht wurde. Das Material sei nicht benötigt worden, um die eigenen Schutztechniken zu verbessern. Gleichzeitig hätten bedenken bezüglich des Umgangs mit Daten bestanden, die für geheim erklärt worden waren. Deswegen sei aufgrund dieser Bedenken allgemein vorgegeben worden, "zufällig gesammelte, als potenziell geheim eingestufte Materialien zu löschen". (mho)