Kaspersky heeft zijn interne onderzoek afgerond naar aanleiding van berichten in de media dat een NSA-medewerker via zijn software was gehackt. Daarin benadrukt het bedrijf de mogelijkheid dat de medewerker door een andere partij is gehackt via een backdoor.
De backdoor in gekraakte Office 2013-software kwam al voor in de voorlopige resultaten van het interne Kaspersky-onderzoek, maar nu noemt het bedrijf aanvullende details bij de resultaten van het afgesloten onderzoek. De trojan in kwestie heet Smoke Bot of Smoke Loader. Een Rus ontwikkelde de trojan in 2011, waarna de tool op verschillende forums te koop was. Tussen september en november van 2014, de periode waarin Kaspersky de NSA-tools op een systeem met zijn software ontdekte, was het c2-domein door een ogenschijnlijk Chinese partij geregistreerd, zo concludeert Kaspersky aan de hand van registratiegegevens.
Volgens Kaspersky wijst dit erop dat de eigenaar van het systeem onvoldoende zorgvuldig was en dat de kans bestaat dat andere partijen toegang hadden tot zijn systeem. Het beveiligingsbedrijf schrijft dat er in de loop van de twee maanden nog grote hoeveelheden andere malware op het systeem werd aangetroffen. Kaspersky heeft zijn analyse van de betreffende backdoor in de gekraakte software beschreven in een apart document.
In zijn huidige publicatie gaat Kaspersky ook in op een artikel van The New York Times dat suggereerde dat Israël toegang had verkregen tot het Kaspersky-netwerk en dat het er op die manier achter kwam dat Rusland via het bedrijf spioneerde. Daar heeft het geen bewijs van kunnen vinden, claimt het bedrijf. Als dat het geval was geweest, had de Russische dienst zogenaamde signatures aan moeten maken, regels aan de hand waarvan de software potentieel kwaadaardige bestanden opspoort. Als een externe partij dergelijke handtekeningen had aangemaakt, dan was dat opgevallen. Concurrenten en onderzoekers bekijken dergelijke signatures bovendien ook.
Vervolgens gaat Kaspersky in op de hypothetische situatie dat een inlichtingendienst mee kon kijken met de schermen van zijn analisten. Daarbij meldt het dat het in een kader van een bepaald onderzoek signatures had aangemaakt waarbij werd gezocht naar onder meer pdf-, xls, en -pgp bestanden en bestanden die het woord 'geheim' bevatten. Dit gebeurde om een bepaalde malware op te sporen die naar deze bestanden zocht. Een externe partij zou dit kunnen interpreteren als een poging tot spionage, aldus de argumentatie van Kaspersky.
The Wall Street Journal schreef in oktober dat er via Kaspersky-software NSA-tool van een privé-pc van een onderaannemer waren gestolen. Kaspersky voerde vervolgens een onderzoek uit, waarvan het de voorlopige resultaten eerder al had gedeeld. Het bleek dat het bedrijf in 2014 inderdaad een archief met NSA-tools had aangetroffen na een scan. Toen bleek dat het om geheime overheidsgegevens ging, zou de directeur van het beveiligingsbedrijf hebben bevolen het archief in kwestie te verwijderen.