Een groep malware-ontwikkelaars heeft onbedoeld vier zerodaylekken gelekt doordat op de ontwikkelmachines antivirussoftware draaide die verdachte bestanden naar het antivirusbedrijf terugstuurde. Dat laat antivirusbedrijf Kaspersky Lab tegenover Vice Magazine weten.

Volgens onderzoekers van de virusbestrijder gaat het vermoedelijk om een groep ontwikkelaars van de Oezbeekse inlichtingendienst SSS. De groep ontwikkelt malware en maakt hierbij gebruik van zerodaylekken die via een derde partij zijn verkregen. Op de ontwikkelmachines stond de antivirussoftware van Kaspersky geïnstalleerd, waarschijnlijk om te testen of de malware werd gedetecteerd.

De telemetriefunctie van de virusscanner stond echter ingeschakeld, waardoor verdachte bestanden naar het antivirusbedrijf werden gestuurd. Daarnaast bleek dat de ontwikkelaars de aangekochte zerodaylekken op een usb-stick ontvingen. Zodra de usb-stick op de ontwikkelcomputers werd aangesloten, scande de virusscanner de inhoud van de datadrager. Ook op die manier werden verdachte bestanden voor analyse teruggestuurd.

Op deze manier wisten onderzoekers vanaf oktober vorig jaar vier verschillende zerodaylekken te vinden. "Ik denk dat we één van deze exploits in handen kregen voordat ze hem konden gebruiken", aldus Kaspersky-onderzoeker Brian Bartholomew. Volgens de onderzoeker laat de operationele security van de SSS ernstig te wensen over. Zo uploadde de inlichtingendienst de malware die het ontwikkelde via het eigen ip-adres naar VirusTotal, de online virusscandienst van Google.

"Als ontwikkelaar upload je geen bestanden naar VirusTotal, maar als je het doet, doe je het niet vanaf het ip-adres waarvandaan je je operaties uitvoert", merkt Bartholomew op. In welke software de zerodaylekken zijn gevonden wordt niet gemeld, maar vorig jaar november en december patchte Microsoft verschillende zerodays in Windows die door Kaspersky waren ontdekt en gerapporteerd.