A novela entre o governo dos Estados Unidos e a Kaspersky Lab acaba de ganhar mais um capítulo: a companhia divulgou nesta quarta-feira (25) o resultado de uma análise que aponta que os hackers que capturaram informações sigilosas da NSA exploraram um software pirata usado por um funcionário da agência e não o antivírus da companhia.
Há meses que autoridades norte-americanas desconfiam que a Kaspersky tem envolvimento com práticas de espionagem do governo russo. A situação chegou ao ponto de o Departamento de Segurança Interna dos Estados Unidos solicitar às agências do governo que deixem de usar os serviços da empresa.
Aparentemente, a recomendação surgiu depois que a NSA descobriu que dados internos haviam vazados. As investigações preliminares indicam que a invasão foi possível porque um funcionário da agência levou trabalho para casa em um computador protegido com um antivírus da Kaspersky que, de alguma forma, teria permitido que hackers descobrissem arquivos confidencias na máquina.
Sem demora, a Kaspersky respondeu que não tem envolvimento ilegal com nenhum governo, nem mesmo o russo — a sede da companhia fica em Moscou. “A única conclusão parece ser a de que a Kaspersky Lab está presa no meio de uma luta geopolítica”, diz um trecho do comunicado oficial.
Ao mesmo tempo, a empresa iniciou uma investigação interna para descobrir o que aconteceu. No relatório sobre esse trabalho, a Kaspersky aponta que o funcionário da NSA que levou trabalho para casa teria instalado um keygen no computador para habilitar uma cópia pirata do Microsoft Office.
Para executar a instalação ilegal, o funcionário aparentemente desativou o antivírus e o reativou mais tarde. Ao fazê-lo, o antivírus detectou a presença de um malware que, agora sabe-se, veio junto com o keygen: o backdoor Win32.Mokes.hvl.
Diante do alerta do antivírus, o funcionário teria então realizado várias varreduras com o software. Nesse procedimento, o antivírus encontrou arquivos que pareciam ser variantes do Equation: trata-se de um sofisticado malware criado por um grupo de espionagem de mesmo nome que, supostamente, tem ligação com a NSA.
Um dos arquivos, no formato 7zip, foi classificado como potencialmente malicioso e enviado pelo antivírus aos servidores da Kaspersky. Um analista conferiu o arquivo e, ao perceber que havia código-fonte do que parecia ser o malware Equation, relatou o incidente a Eugene Kaspersky, CEO da companhia.
Então, sim, a Kaspersky teve acesso a ferramentas internas da NSA, mas simplesmente porque o antivírus detectou uma atividade suspeita e mandou os dados para análise. Ao saber que o arquivo tinha ligação com a agência, Eugene ordenou que os dados fossem imediatamente apagados dos servidores da empresa.
A Kaspersky também afirma que essas ferramentas não foram repassadas para terceiros. Se o governo russo teve acesso a elas, foi por outro meio. Talvez tenha sido pelo próprio backdoor: a Kaspersky não conseguiu descobrir por quanto tempo o antivírus ficou desativado, mas há indícios de que foi por vários dias, sugerindo que os invasores tiveram tempo para agir.
Mesmo não havendo indícios de que a Kaspersky tem envolvimento em ações de espionagem, a imagem da empresa ficou prejudicada com os últimos acontecimentos. Mas a companhia agiu rápido: além da investigação sobre o assunto, a Kaspersky criou um programa de transparência que permitirá que o código-fonte de seus softwares sejam revisados por auditorias externas e até órgãos governamentais, tudo para provar que os seus produtos são confiáveis.
Além disso, a empresa prometeu recompensas de até US$ 100 mil para pesquisadores de segurança independentes que encontrarem falhas graves nos seus softwares até o final de 2017.