Kaspersky Labs ha publicado los resultados de su investigación tras las afirmaciones de que su software antivirus se utilizó en un ataque dirigido a un empleado de la NSA y que provocó que varios documentos clasificados fueran robados del ordenador de destino. Informes originales provenientes de medios estadounidenses indicaron que el antivirus de Kaspersky se estaba ejecutando en el equipo de la casa del trabajador de la NSA, permitiendo que lo que se creía que eran espías rusos accedieran a la máquina y robaran documentos pertenecientes a la unidad de piratería de la NSA llamada Equation Group.

Kaspersky y el software pirateado

En su informe, Kaspersky explica que un análisis forense interno reveló que un ataque dirigido al ordenador del empleado de la NSA fue exitoso, pero no tuvo lugar en 2015, como indicaron los medios de comunicación originales, sino entre septiembre y noviembre de 2014.

Además, Kaspersky dice que el ciberataque llevó al robo del código fuente del malware Equation Group, y el proveedor de seguridad agregó que esto podría ser una indicación de que el ordenador en sí mismo estaba siendo utilizado por alguien que formaba parte de esta unidad NSA en particular.

Pero en lo referente al software que facilitó el ataque, Kaspersky dice que no fue su antivirus el que permitió a los cibercriminales entrar en el sistema, sino en el software pirateado de Microsoft.

Parece que el usuario descargó e instaló una copia pirateada de Microsoft Office 2013. Posteriormente utilizó un generador de claves para eludir el proceso de activación. Kaspersky Antivirus, que de hecho estaba instalado en el sistema, fue desactivado manualmente por el usuario para activar la copia pirateada de Microsoft Office, ya que los generadores de claves ilegales normalmente están bloqueados por el software de seguridad.

“La herramienta de activación ilegal contenida en el ISO de Office estaba infectado con malware. El usuario se infectó con este malware durante un período no especificado mientras el producto de Kaspersky Lab estaba inactivo. El malware consistía en una puerta trasera en toda regla. Ésta podría haber permitido a otros terceros acceder a la máquina del usuario “, dice la empresa.

El antivirus detectó el malware

La empresa de seguridad dice que su antivirus detectó el malware cuando se volvió a habilitar. También agregó que la infección del sistema Backdoor.Win32.Mokes.hvl se utilizó para llamar a un servidor de comando y control conocido. La detección tuvo lugar el 4 de octubre de 2014, dicen desde la firma.

La compañía de antivirus asegura que algunos de los archivos de la NSA terminaron en sus servidores después de que el sistema antivirus detectara un archivo 7Zip infectado con el malware. Según la política de antivirus, los archivos infectados se cargaron a Kaspersky para su posterior análisis. Al descubrir los documentos clasificados, Kaspersky decidió eliminar los archivos, dice, pero el “archivo no se compartió con terceros”.

Actualmente, Kaspersky está prohibido en los ordenadores utilizados por el gobierno de Estados Unidos. El motivo es la sospecha de que ayudó a los espías rusos a lanzar ataques contra objetivos estadounidenses.