La security firm con base a Mosca ha guadagnato il rispetto della comunità internazionale con i suoi oltre 400 milioni di utenti e più di 270.000 clienti aziendali.
A febbraio di quest'anno, le ricerche di Kasperky Lab ZAO hanno portato alla scoperta del team di spionaggio "Equation Group" (così chiamato proprio dalla security firm russa), un gruppo che sembra aver utilizzato due attacchi 0-day (vulnerabilità non ancora ufficialmente rilevate e quindi impossibili da correggere) implementati alla base del worm Stuxnet, malware utilizzato nel 2009 e nel 2010 per sabotare le centrali nucleari iraniane alterando il normale funzionamento delle centrifughe per distruggerle. Per via di un errore di programmazione il malware si è diffuso oltre i confini del network attaccato, diffondendosi a livello globale e venendo quindi individuato. L'Equation Group sarebbe attivo almeno dal 2001 ed avrebbe avuto accesso ai sopracitati exploit 0-day prima della nascita del worm Stuxnet stesso.
Secondo le fonti di Reuters, la storia degli episodi di sabotaggio effettuati da Kaspersky Lab ha avuto inizio più di 10 anni fa. Al tempo, il mercato dei software antivirus era in crescita esponenziale e vari concorrenti di Kaspersky hanno iniziato a copiare parti del codice di proprietà dell'azienda di Mosca per utilizzarlo nei propri programmi. Da allora, la condivisione degli elenchi dei malware tra compagnie di cybersecurity è diventata una prassi.
Nel 2010 i laboratori Kaspersky si sono pubblicamente lamentati delle continue copie del proprio lavoro, chiedendo maggior rispetto della proprietà intellettuale in un ambiente internazionale sempre più orientato alla condivisione dei dati.
Per dimostrare che il proprio lavoro veniva copiato, Kaspersky Lab ha condotto il seguente esperimento: 10 file innocui sono stati creati e inviati a VirusTotal, aggregatore di elenchi di malware della Google Inc, dichiarando che erano stati identificati come malware. Lo scopo di VirusTotal è di aumentare la prevenzione informatica condividendo tali elenchi e nell'arco di neanche due settimane -secondo una presentazione dell'analista Kaspersky Magnus Kalkuhl che risale al 2010- tutti e 10 i file innocui venivano dichiarati pericolosi da ben 14 compagnie di sicurezza che evidentemente avevano seguito la guida di Kaspersky senza premurarsi di verificare la correttezza dei dati acquisiti.
Quando è diventato palese che le lamentele e le accuse di furto non avrebbero sortito alcun effetto, prosegue il reportage, ha avuto inizio il sabotaggio.
Una delle tecniche descritte prevede l'iniezione di codice malevolo in software fondamentali per il funzionamento di vari tipi di PC. In questo modo i file risultano avere tutte le caratteristiche di un programma infetto. Il passo successivo prevede l'invio del codice ritoccato ad un aggregatore di database, come in questo caso VirusTotal. In questo modo quando la concorrenza esegue il software nei proprio sistemi di rilevazione malware, il codice viene definito come potenzialmente pericoloso. Se il file ritoccato riesce a rimanere formalmente abbastanza simile all'originale, gli attaccanti possono ingannare le compagnie rivali portandole ad identificare come malware anche il software originale totalmente innocuo. VirusTotal non ha dato risposta ai primi interrogativi posti sul tema.
La Reuters ha inviato richieste scritte di chiarimento anche a Kaspersky Lab. L'azienda moscovita ha negato categoricamente di aver utilizzato (o di utilizzare tutt'ora) tecniche simili, dichiarando: "la nostra compagnia non ha mai condotto campagne di sabotaggio segrete atte a generare falsi positivi nella concorrenza al fine di danneggiare il loro mercato.. ..azioni simili sono immorali, disoneste e dalla legalità quantomeno dubbia". La risposta di Kaspersky aggiunge inoltre: "anche noi siamo stati vittima di un attacco simile nel novembre 2012, quando una terza parte non identificata è riuscita a manipolare il nostro software in modo che classificasse, erroneamente, con virus file provenienti da Tencent, Mail.ru e dalla piattaforma di gaming Steam".
La fonte anonima di Reuters rincara dichiarando che uno dei principali bersagli del sabotaggio è la Microsoft Corp, per via della sua posizione di leader nel mercato degli antivirus (che permette una maggior diffusione dei codici modificati), sebbene si rifiuti di descrivere nel dettaglio qualche specifico episodio.
Il direttore della ricerca anti-malware Microsoft, Dennis Batchelder, ha detto di ricordarsi un episodio -avvenuto nel marzo 2013- in cui numerosi clienti si sono lamentati del fatto che il loro software antivirus continuava a mettere in quarantena un codice per stampanti. Batchelder ha rifiutato di commentare ogni possibile legame tra l'incidente e Kaspersky, ma ha ammesso di aver impiegato circa 6 ore per collegare il codice per stampanti ad un malware precedentemente identificato dalla Microsoft come un virus. Parti del codice del virus erano state fuse con il normale driver, ingannando i sistemi di protezione. Nei mesi seguenti il team di Batchelder ha trovato centinaia (forse migliaia) di file "puliti" alterati per apparire malevoli. Per sua stessa direttiva, gli sforzi si sono concentrati non verso l'individuazione del colpevole ma verso la ricerca di una soluzione efficace: "non ha davvero importanza chi è stato.. ..ciò che importa è che tutte le nostre industrie hanno una vulnerabilità insita nel fatto che i nostri sistemi sono basati sulla fiducia ed è questo che dobbiamo risolvere".
Mentre si diffondeva la notizia, varie compagnie attive nella cybersecurity hanno iniziato a domandarsi cosa non andasse nei loro sistemi e come poter cambiare approccio per risolvere (o quantomeno mitigare) il problema. Nessuna delle parti in causa è comunque riuscita ad identificare la fonte degli attacchi.
Secondo gli ex-dipendenti Kaspersky ulteriori bersagli della campagna di sabotaggio sono AVG Technologies NV, Avast Software e molti altri. Il picco di questi attacchi, avvenuti a ondate intermittenti, si sarebbe avuto tra il 2009 ed il 2013. Yuval Ben-Itzhak, ex-capo dell'ufficio tecnologico AVG, ha dichiarato che le "bordate" di software ritoccato arrivavano circa 4 volte l'anno, per almeno 4 anni, con l'ultimo flusso iniziato nel primo periodo del 2013. A suo dire gli attacchi sono diminuiti fino quasi a scomparire quando sono stati implementati appositi filtri per eliminare i falsi positivi ed in seguito ad una revisione (e aggiornamento) del sistema di individuazione malware dell'azienda. Todd Simpson, dal dipartimento strategico AVG, ha rifiutato qualsiasi commento.
Da Avast giunge la conferma che i propri tecnici hanno individuato una grande quantità di driver di rete opportunamente modificati per apparire come codice malevolo e duplicati nelle varie versioni con traduzioni in diverse lingue. Una comunicazione di aprile da parte del Chief Operating Officer di Avast, Ondrej Vlcek, a Reuters riporta che i suoi sospetti sono indirizzati verso anonimi programmatori esperti di malware, ben equipaggiati, che volevano semplicemente "divertirsi un po'" a spese dell'azienda.
Non è chiaro se questo tipo di attacchi sia terminato e di quale portata possano essere gli effetti negativi di manovre simili alla data odierna. Gli esperti di sicurezza sembrano indicare una diminuita potenzialità dannosa dei sabotaggi di tale natura. Ciò è, in parte, dovuto al fatto che le compagnie di cybersecurity sono progressivamente meno propense a prendere come "oro colato" le affermazioni della concorrenza ed anche al fatto che gli sforzi atti ad eliminare i falsi positivi stanno aumentando sensibilmente presso tutti gli attori interessati.
Kaspersky ha comunicato di aver perfezionato i propri algoritmi per difendersi dai falsi virus, aggiungendo che è convinzione dell'azienda che nessuna compagnia produttrice di antivirus abbia condotto gli attacchi in quanto " ciò avrebbe avuto un risultato controproducente, totalmente negativo per l'industria della sicurezza informatica nel suo complesso". In effetti oltre a danneggiare i concorrenti, una manovra di questo tipo causa conseguenze dannose anche per gli utenti finali. Dai laboratori Kasperky aggiungono: "anche se il mercato della sicurezza è molto competitivo, il traffico di dati fidati rispetto alle minacce è parte integrante della sicurezza dell'intero ecosistema informatico e questo rapporto di scambio non dev'essere compromesso o corrotto".