«Лаборатория Касперского» рассказала свою версию кражи хакерских инструментов АНБ

2017-10-26 9043
Российская антивирусная компания “Лаборатория Касперского” опубликовала отчет, в котором подробно описывается собственная точка зрения на инцидент кражи специализированных инструментов у Агентства Национальной Безопасности (АНБ) США

Хотя американские власти проводили собственное расследование по подозрению “Лаборатории Касперского” в связях с российским правительством, его подробности не раскрывались на протяжении нескольких месяцев.

Только осенью в публикациях The Wall Street Journal и The New York Times появилась информация, что российские агенты ФСБ или другие инсайдеры “Лаборатории Касперского” использовали антивирусное ПО в качестве интерактивной поисковой системы для сканирования компьютеров все по всему миру.

В СМИ сообщалось, что кража секретных данных в пользу российских властей произошла, потому что сотрудник АНБ без разрешения разместил их на домашнем компьютере.

Сбор данных был автоматическим

“Лаборатория Касперского” все лето отрицала факт любых нарушений, но после появления публикаций в американских СМИ, инициировала собственное расследование инцидента.

Предварительные результаты этого расследования были опубликованы 25 октября 2017 года. В отчете Kaspersky Lab признает, что секретные документы АНБ действительно были собраны компанией, но непреднамеренно.

“Лаборатория Касперского” заявила, что процесс сбора данных был автоматическим, поскольку анализируемыми объектами были инструменты взлома с подписями, привязанными к вредоносному ПО. Вендор полагал, что данный инструментарий принадлежит к группе кибершпионажа, которую компания изучала в то время.

Этот инцидент произошел в 2014 году, и “Лаборатория Касперского” опубликовала отчет об этой группе в 2015 году. Название группы и отчет теперь являются печально известными - Equation Group. Большинство экспертов по безопасности признают, что группа является подразделением киберопераций АНБ.

Генеральный директор распорядился уничтожить собранные файлы

Хотя вендор не раскрывает детальную информацию о том, на каком именно компьютере был обнаружен вредоносный код группировки Equation Group, он сообщает, что пользователь использовал антивирусный продукт компании для домашних пользователей с активной функцией “автоматическая отправка образцов новых и неизвестных вредоносных программ”.

Компания утверждает, что файлы, собранные у этого пользователя, “были новыми, неизвестными вариантами вредоносного ПО, используемого группой Equation”.

Поскольку это была новая вредоносная программа, вирусный аналитик “Лаборатории Касперского” взглянул на собранные данные, чтобы проверить и классифицировать новое обнаружение. Компания заявляет, что этот сотрудник сообщил о файлах генеральному директору компании Евгению Касперскому, поняв, что он, возможно, обнаружил исходный код инструментов АНБ.

В неожиданном повороте событий Евгений Касперский распорядился удалить выбранные файлы. Компания не указала причину, по которой ее генеральный директор принял это решение, но заявила, что не делилась файлами с какой-либо третьей стороной.

Компьютер сотрудника АНБ был заражен бэкдором

Выводы отчета компании подтверждают неофициальные теории, распространенные в сообществе infosec. Большинство экспертов предполагали, что антивирус Касперского просто выполнил свою работу после того, как беззаботный сотрудник АНБ нелегально скопировал хакерские инструменты из сети АНБ и по неизвестным причинам отвез их домой.

“Лаборатория Касперского” проанализировала телеметрические данные с компьютера предполагаемого сотрудника АНБ. Российский вендор сообщает, что этот же пользователь, который, очевидно, укрывал инструменты взлома АНБ на своем домашнем ПК, вскоре был заражен другим вредоносным ПО.

Kaspersky заявляет, что пользователь загрузил кейген для установки пиратской версии Microsoft Office. Как это обычно бывает с кейгенами для пиратского программного обеспечения, этот файл поставлялся с вредоносным ПО, в данном случае - с троянцем Backdoor.Win32.Mokes.hvl.

Компания хочет показать, что некоторые случайные киберпреступники тоже могли иметь доступ к секретным инструментам АНБ, размещенным на домашнем компьютере сотрудника агентства.

Были обнаружены компьютеры-приманки АНБ

Инфекция Mokes не осталась незамеченной, и, осознав, что что-то не так, пользователь несколько раз проверял свой компьютер антивирусом Касперского. Антивирусный продукт сообщил пользователю не только об инфицировании Mokes, но и о обнаружении вредоносных программ Equation Group.

В какой-то момент сотрудник АНБ сообщил об инциденте своим руководителям, или само ведомство осознало факт утечки, после того, как “Лаборатория Касперского” опубликовала отчет Equation Group в феврале 2015 года. Компания обнаружила компьютеры, сконфигурированные как “honeypots” (приманки), укрывающие одни и те же вредоносные программы и в том же диапазоне IP-адресов, что и начальное обнаружение.

Эта часть отчета подтверждает информацию WSJ, что правительство США создало тестовые компьютеры в контролируемых экспериментах. Kaspersky Lab считает, что антивирусный продукт вел себя так, как он и был разработан, и собирал только вредоносные исполняемые файлы, а не секретные данные, как сообщили WSJ и NYT.

Настала очередь правительства США

В отчете “Лаборатории Касперского” содержатся все технические детали, которых не было в оригинальной отчетности, а также представлена правдоподобная сюжетная линия событий, которая привела к тому, что официальные лица США запретили использование продуктов вендора на компьютерах американского правительства.

Теперь было бы логичным, если власти США опубликовали собственный технический отчет. На данный момент вся информация об инциденте приводится анонимными источниками в СМИ, никаких официальных заявлений не поступало.

Конечно, данный отчет не означает полную невиновность “Лаборатории Касперского”. Некоторые вещи еще требуют уточнения. В частности, компания ранее сообщала американским властями, что антивирусные продукты компании можно использовать для выявления лиц, подозреваемых в терроризме.

Также на этой неделе “Лабораторий Касперского” объявила о новой инициативе информационной открытости, которая позволила бы доверенным аудиторам просматривать исходный код своих продуктов на предмет любых скрытых бэкдоров или подозрительного поведения.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте