Saken rundt striden mellom USAs myndigheter og Kaspersky Lab har tatt en interessant vending denne uken. Til nettavisen Politico sier to kilder at det var det russiske IT-sikkerhetsselskapet som først gjorde det amerikanske signaletterretningsbyrået NSA (National Security Agency) kjent med at den innleide konsulenten Harold T. Martin III var en trussel mot byrået.
Kildene skal ha kjennskap til etterforskningen av Martin, men er anonymiserte fordi de ikke er autorisert til å uttale seg om saken.
Snowden-kollega
Martin ble i 2016 pågrepet for å ha programvare tilhørende NSA ute for salg på internett. Senere skal det ha vist seg at han over en periode på 20 år skal ha flere hundre millioner dokumenter fra byrået, totalt over 50 terabyte med data. Dette mens han var innleid som konsulent fra selskapet Booz Allen, det samme selskapet som varsleren Edward Snowden jobbet for.
Martin skal også ha stjålet flere av NSAs mest avanserte hackerverktøy. Flere av disse verktøyene ble sommeren 2016 forsøkt solgt av gruppen The Shadow Brokers. Interesse for å kjøpe dem var ikke så stor, så samlingene ble senere utgitt helt gratis.
Bakgrunn: Hackergruppe skal ha stjålet kybervåpen fra NSA. Nå er de til salgs
EternalBlue
Noen av disse lekkede verktøyene og teknikkene gjorde det senere mulig å lage skadevare som WannaCry og NotPetya. Det mest omtalte kalles for EternalBlue.
Noen detaljert tidslinje over hendelsene har vi ikke, men The Shadow Brokers' første opptreden skjedde den 13. august 2016. Martin ble arrestert den 27. august samme år.
Ifølge kildene til Politico skal Kaspersky Lab ha varslet NSA om Martin etter at selskapet i 2016 mottok det som omtales som merkelige Twitter-melding fra en konto som skal ha vært knyttet til Martin.
Det skal ha vært varselet fra Kaspersky Lab, og ikke NSAs egne overvåkningssystemer og etterforskere, som skal ha avslørt Martin.
Les også: For NSA var EternalBlue-verktøyet som å fiske med dynamitt
Meldingene
De to første meldingene to sikkerhetsforskere hos Kaspersky Lab mottok fra twitterkontoen HAL999999999, ble sendt bare 30 minutter før The Shadow Brokers begynte dumpingen av de nevnte NSA-verktøyene. Men meldingene ble først lest noen dager senere.
I den første meldingen nevnes navnet Yevgeny. Det antas at dette referer til Eugene Kaspersky, grunnleggeren av Kaspersky Lab, som egentlig heter Yevgeny til fornavn.
Deretter skal Kaspersky Lab ha mottatt ytterligere tre twittermeldinger før kontakten ble brutt like brått som den oppstod, ved at HAL999999999 blokkerte kontoene til de to sikkerhetsforskerne.
YouTube-videoen som det lenkes til i den siste av meldingene, viser ifølge Politico slutten av filmen «Inception». Også i den fjerde meldingen inneholder en filmreferanse, nemlig til Jason Bourne-filmen som hadde premiere i USA to uker tidligere. Begge de to filmene handler til dels om at det kan være vanskelig å skille sannhet og virkelighet fra bedrag og illusjon.
Les også: Sterke anklager mot Kaspersky Lab
Utlevert til NSA
Kaspersky Lab skal kort tid etterpå ha utlevert de fem meldingene til NSA, sammen med bevis for den virkelige identiteten til avsenderen. Dette ble gjort samtidig som at selskapet selv har vært under etterforskning etter anklager om samarbeid med russiske etterretningstjenester om å stjele og eksponere nettopp graderte NSA-verktøy og dokumenter.
En konkret sak som har blitt mye omtalt, er et tilfelle hvor konfidensielt materiale fra NSA ble lagret på Kaspersky-eide servere i to måneder i 2014. Materialet stammet fra hjemme-pc-en til en NSA-ansatt, som angivelig skal ha kopiert dette uten tillatelse. Materialet skal ha vært lagret i et 7zip-arkiv.
Kaspersky Lab har bekreftet dette, men forklarer det med at selskapets antivirusprodukt, som var installert på den aktuelle pc-en, oppdaget ondsinnede, kjørbare filer i arkivet og derfor automatisk lastet dette opp til Kasperskys servere for nærmere inspeksjon. Dette er ganske ordinær atferd for et antivirusprogram.
Anklagene mot Kaspersky Lab har ført til at selskapets produkter har blitt svartelistet mot bruk i føderale etater i USA. I ettertid har også flere andre land innført tilsvarende forbud.
Les mer: EU tar til orde for å bannlyse programvare fra Kaspersky Lab
Ironisk
Steward Baker, som var sjefadvokat hos NSA på 1990-tallet, sier til Politico at det er dobbelt ironisk at det var folk hos Kaspersky Lab som varslet NSA om Martins virksomhet, samtidig som at selskapet selv var i søkelyset til det amerikanske etterretningsfellesskapet.
– Vi trodde alle at Martin ble tatt på grunn av fornyet eller forhøyet granskning. I stedet ser det ut til at han ble tatt fordi han er en idiot, sier Baker.
Samtidig mener han det er nedslående at NSA tilsynelatende ennå ikke har funnet noen god måte å finne upålitelige ansatte blant dem som har tilgang til noe av det mest sensitive NSA har av data.
De nevnte twittermeldingene er allerede et tema i forbindelse med forberedelsene til saken mot Martin, som skal opp for retten i juni i år. Ifølge Politico har Martins forsvarere forsøkt å få ugyldiggjort ransakelsesordrene som FBI har fått innvilget i saken, med at FBI ikke hadde noen rimelig grunn til å innhente disse.
Dommeren, Richard Bennett, har avvist dette, blant annet på grunn av twittermeldingene. Dette selv om han innrømmer at de nokså kryptiske meldingene i en annen sammenheng kunne ha hatt en rekke uskyldige betydninger.
Les også vårt intervju med Kaspersky Labs nordensjef (Digi ekstra)