Газета The Wall Street Journal опять опубликовала провокационную статью со ссылкой на анонимные источники о «российских хакерах, которые работают на правительство».На этот раз речь идёт об утечке секретной информации о хакерских инструментах, которые использует АНБ в разведывательной деятельности. По словам нескольких источников, российским хакерам удалось добыть эту информацию, взломав домашний компьютер одного из подрядчиков АНБ, который скопировал секретную информацию из сети АНБ.
Так получилось, что у этого человека на домашней машине был установлен «Антивирус Касперского». Взлом его компьютера был делом техники.
Осведомлённые источники сообщили WSJ, что инцидент произошёл в 2015 году, но о нём стало известно только весной 2016-го.
Среди украденного материала — информация о том, как АНБ проникает в компьютерные сети иностранных государств и компьютерный код эксплоитов, которые используются в этих атаках.
По словам американских разведчиков, обладая такой информацией, российские спецслужбы могли не только защитить свои сети от проникновения АНБ, но и использовать эксплоиты в собственных операциях.
Из статьи WSJ не совсем понятно, как конкретно хакеры использовали «Антивирус Касперского» для получения информации об эксплоитах АНБ. Здесь есть два варианта: либо с участием самой компании-разработчика, либо без её участия, используя уязвимости в программном обеспечении.
Как известно, антивирус отправляет домой сигнатуры новых найденных вирусов. Среди этих «новых зловредов», которые нигде не встречались раньше, оказались и хакерские инструменты АНБ, в том числе уникальные троянские программы для проведения таргетированных атак. «Лаборатория Касперского» не скрывает, что тесно сотрудничает с российскими спецслужбами, но в рамках закона, для борьбы с киберугрозами. Если предположить участие компании в этой операции, то она могла заметить необычные сигнатуры — и сообщить о них своим коллегам из ФСБ, этим участие «Лаборатории Касперского» в операции могло ограничиться.
Если предположить, что компания ничего не знала об инциденте, то возможно, что правительственные хакеры использовали имеющиеся уязвимости в программе, чтобы проникнуть в систему (в «Антивирусе Касперского» было найдено множество уязвимостей, допускающих удалённое исполнение кода). Некоторые специалисты по безопасности говорят, что любой антивирус — это дополнительная брешь в безопасности системы, поскольку к имеющимся в ОС уязвимостям он добавляет свои собственные, работая при этом на уровне ядра ОС. Таким образом, хакеры могут использовать баги в антивирусе, чтобы получить полный доступ к компьютеру.
Есть ещё вариант, что российские спецслужбы могли иметь доступ к базе сигнатур или к сетевому трафику «Лаборатории Касперского» — и узнали о новых сигнатурах без ведома самой компании.
Сам Евгений Касперский говорит, что ничего не знал об инциденте и называет его новой теорией заговора:
В комментариях к его твиту пользователи обсуждают карьеру Евгения в органах госбезопасности. Кто-то высказывает мнение, что бывших агентов КГБ не бывает, а единственный способ уволиться из органов — это умереть.
WSJ пишет, что это третий случай утечки документов АНБ через подрядчика (после Эдварда Сноудена и Харольда Мартина) и первый известный случай использования хакерами инструментов «Лаборатории Касперского» для шпионажа против государственных органов США. По данным разработчика, антивирусная программа установлена более чем на 400 млн компьютерах по всему миру, а продажи в странах Западной Европы и Америке принесли «Лаборатории Касперского» более $500 млн в прошлом году. Учитывая такие цифры, можно не сомневаться, что компании абсолютно невыгодны подобные скандалы, которые портят её репутацию. То есть компания должна максимально публично дистанцироваться от российского правительства и разведки, сотрудничая с ними без лишней огласки, на максимально секретных условиях.
Штаб-квартира «Лаборатории Касперского». Фото: Savostyanov Sergei/TASS/Zuma Press
Представители АНБ отказались комментировать информацию, но отметили, что у Министерства обороны США контракт на использование антивирусного программного обеспечения заключён с другой компанией, не с «Лабораторией Касперского».
Представитель российского правительства Дмитрий Песков не упомянул кражу документов АНБ, но сказал, что запрет на использование «Антивируса Касперского» в федеральных агентствах США «подрывает конкурентные позиции российских компаний на мировой арене».
Тем временем, в Америке может развернуться настоящая «охота на ведьм». 5 октября 2017 года сенатор Джин Шахин (Jeanne Shaheen) обратилась в Комитет по вооруженным силам Сената с просьбой назначить слушания по проблеме «опасности использования» программного обеспечения «Лаборатории Касперского».
Источники WSJ не сообщают, кто из подрядчиков АНБ провинился на этот раз. Говорят только, что он не имел цели рассекретить документы, а просто хотел поработать с ними дома во внеурочное время. При этом человек был осведомлён, что копировать и выносить секретные документы из здания АНБ запрещено, так что он будет отвечать по закону. Сейчас по его делу ведётся федеральное расследование. Нужно заметить, что сотрудникам и подрядчикам АНБ никогда не разрешали использовать программы «Лаборатории Касперского» на рабочих компьютерах, и не советовали устанавливать их на домашних ПК — даже до инцидента 2015 года, а уж сейчас тем более.
«Лаборатория Касперского» официально заявила, что не сотрудничает с разведкой никаких стран в проведении разведывательных операций за рубежом. Но WSJ пишет, что российские спецслужбы могут использовать этот софт для шпионажа и без ведома компании.
Комментарии (44)
caveeagle
06.10.2017 13:20+11То есть, как я понял, дело было так: мужик принёс на домашний компьютер вирус, созданный АНБ. Касперский успешно детектировал этот вирус, определил как новый, и отправил его на анализ в лабораторию — логичное действие для антивирусной программы. В лаборатории обнаружили, что это не совсем вирус, а целевая закладка, и сообщили об этом ФСБ. Что тоже выглядит логичным.
Всё понятно, только где тут «взлом удалённого компьютера»? Или я неправильно понял новость?
noldowalker
06.10.2017 13:32-3Да не, все правильно. Хакать можно толкьо АНБ, У них же культура 250+ лет сияющей демократии. А если вы просто от них даже защищаетесь вы уже злые русские хакиры.
Вообще если я правильно понял пока точно не известно что и как произошло. Но думаю как обычно чувачки нагнетают. И ньюсмейкерам хайп на популярной страшилке про руSSких акиров, и АНБ может денежку лишнюю выбить, и конкуренты касперыча увтранят какого-никакого а конкурента. Всем хорошо.
nerudo
06.10.2017 14:52+1Все логично, но можно продолжить мысль: США не хочет на своей территории видеть компанию, стучащую о том что у них происходит в ФСБ, а не АНБ/ЦРУ/ФБР/чо_там_еще.
za121
06.10.2017 16:28+3Ну также было и с хуавэй, их же вроде выгнали с рынка амеров из-за подозрений в шпионаже на своем сетевом оборудовании, а началось все с того, что в пентагоне или еще где то оказывается не циской пользуются. Тут просто конкурентная борьба в строну своих производителей, даже не конкурентная борьба, а монополизация рынка исключительно американскими технологиями.
Costic
06.10.2017 15:53-1Если так развивались события — то значить у Касперского хороший антивирус. Ну, а работникам органов надо премию+медальку за нейтрализацию шпиона/трояна от АНБ. Что-то там в США(п) всё с ног на голову. То недовольны, что АНБ всех слушает, теперь защищают их бедных несчастных. Манипулируют общественным мнением.
Shmulinson
06.10.2017 16:58+4Ну, вообще очень похоже. С учетом того что «При этом человек был осведомлён, что копировать и выносить секретные документы из здания АНБ запрещено» вполне укладывается в схему «сотрудник-раздолбай». И да, в то что есть хоть одна структура в мире где в принципе нет раздолбаев — не верю.
0serg
06.10.2017 22:28-2Все верно пишете, просто последнее и очевидное звено в цепочке упускаете. После сообщения от Касперского в ФСБ про обнаружение машины с кучей эксплойтов от АНБ «кто-то» взломал компьютер того подрядчика и выкачал с него массу документов.
wadeg
07.10.2017 00:41+2Нет, дело было так: платный тролль изнасиловал переводчика, изнасиловавшего фантазера-журналиста, изнасиловавшего блоггера, изнасиловавшего неустановленный круг лиц. А что там троян от ФСБ, работающий на уровне ядра — ну так что об этом вспоминать.
wsf
06.10.2017 14:22+4Чето не сходится у меня в голове паззл, сотрудник АНБ таскающий домой копоративный софт и при этом забывающий выключить антивирус. Не говоря уже о том что подобный софт в принципе не должен из виртуальной машины выходить.
tartarelin
06.10.2017 16:18+7Бывает и так, что профессиональный военный получает ранение при чистке своего оружия, а не должен бы.
Viacheslav01
06.10.2017 14:36+3Касперского хотят выкинуть с рынка, под шумок истерии с русскими хакерами.
wkia
06.10.2017 15:51+6Что-то я не понял. В середине статьи написано:
"«Лаборатория Касперского» не скрывает, что тесно сотрудничает с российскими спецслужбами. "
А в конце:
«Лаборатория Касперского» официально заявила, что не сотрудничает с разведкой никаких стран и не помогает им в проведении операций. „
Статью несколько человек писали, или автор сам не читает того, что пишет?
Greendq
06.10.2017 16:01И где вы видите противоречие? Есть заявления на конференциях (например) от основателей/главных разработчиков и т.д., а есть — официальные пресс-релизы. Именно последнее и называется официальным заявлением, а первое — общеизвестным фактом :)
wkia
06.10.2017 16:22+2Расскажите поподробнее, плз, кто и на каких конференциях заявлял такие «общеизвестные факты»? Мне действительно интересно.
Greendq
06.10.2017 16:38Я сказал «например» :) Более того, там надо было поставить тег «лёгкий сарказм», но я его не нашёл :)
Суть в том, что общеизвестные факты (пусть даже полученные из разговоров за пивом) и официальные заявления могут быть прямо противоположными. Я даже больше скажу — официальные заявления могут следовать одно за другим и полностью противоречить друг другу :)wkia
06.10.2017 16:49+3Лично для меня «общеизвестный факт» вообще неизвестен, потому что мне ничего такого за пивом не рассказывают. Поэтому для меня очевидно наличие противоречия в статье.
dimarikpro
06.10.2017 18:05+5«Ализар же, ну...»
justhabrauser
07.10.2017 11:45+2Скоро будут статьи в стиле «анонимный источник Ализара высказал предположение что».
achekalin
06.10.2017 16:38+5Еще раз: АНБ обиделась на ЛК за «взлом» компьютера, содержащего информацию о взломах других компьютеров, проведенных АНБ.
Напомнило: "We kill people who kill people because killing people is bad". Фраза откуда-то из США, и такая же разумная, да.
Притом что отправка антивирусом подозрительных файлов в ЛК — это отключаемая в настройках антивируса функция. Что сильно отличается от отправки непонятных данных со стороны Chrome и даже Windows в сторону якобы соответствующих корпораций (мы-то знаем, что они все работают на АНБ, если уж поддаваться шпионской истерии!)Shmulinson
06.10.2017 17:09+1отправка антивирусом подозрительных файлов в ЛК — это отключаемая в настройках антивируса функция.
Но по умолчанию она вроде как включена?
nidalee
07.10.2017 07:34+1Да. Но, возможно, уровень технической грамотности сотрудников АНБ не позволяет им ее найти?.. Маловероятно, но чем черт не шутит! Все на русском написали, проклятые коммунисты.
FernandoAlfonso
06.10.2017 22:11+1Тот самый случай, когда хотели поругать, а на самом деле похвалили. Эвристика Касперского, как показала эта история, в реальной жизни всё же работает. Но уже давно не у меня, бо с его аппетитами и вирусы не нужны.
0serg
06.10.2017 22:31Есть мнение что не в эвристике дело. Еще до этой истории у Касперского откуда-то всплывали эксплойты от АНБ. И есть предположение что антивирус Касперского мог вполне целенаправленно искать некоторые сигнатуры, которые весьма интересовали ФСБ.
FernandoAlfonso
06.10.2017 23:18+2Версия имеет право на существование, но уж очень натянуто. Без конкретных улик шинкуется бритвой Оккама на мелкие кусочки. Хотя для газетной статьи пойдёт)
0serg
07.10.2017 12:52-1Улики в этом деле вряд ли можно кому-то предъявить, а весомых доказательств собрать просто невозможно. Но это а) совершенно реалистичный сценарий и б) спецслужбы в США действуют так как будто бы действительно с ним столкнулись.
FernandoAlfonso
07.10.2017 13:09+2Тут не стоит забывать, что спецслужбы обязаны так действовать, быть параноиками — это их непосредственная работа. Если что-то хоть теоретически возможно — оно будет отработано по полной.
ktod
07.10.2017 09:43+1Если эвристика сработала в одном случае, это еще не значит, что она сработает в 100% случаев. Т.е. не за что хвалить.
И личный опыт это подтверждает: бывает, что пока «руками» не вычистишь трояна, «касперский» его в упор не видит. Это при крайне подозрительном поведении, например, скачивание из сети исполняемых файлов и их запуск. Скаченные файлы отлично распознаются как «вирусы», а сам троян, бывало, спокойно работал месяцами, только пользователи жаловались, что «откуда то постоянно лезут вирусы».FernandoAlfonso
07.10.2017 11:19+1Да, есть такое дело, и что-то мне подсказывает, что 100% эффективного лечения по нажатию одной кнопки мы вряд ли увидим. Всё-таки вирусописатели по определению всегда будут на шаг впереди.
sotnikdv
07.10.2017 13:03+1Очень, очень интересное уточнение
«Лаборатория Касперского» официально заявила, что не сотрудничает с разведкой никаких стран в проведении разведывательных операций за рубежом.
А НЕ за рубежом?wkia
09.10.2017 14:53+1Обычно в статьях ставят ссылочку на официальное заявление. В данном же случае, уверен, это вольная интерпретация автора. Особенно, если учесть, что и в исходной статье WSJ совершенно другая формулировка.
Bookvarenko
08.10.2017 13:12Разведчики разведывают, антивирус палит трояны, хакеры взламывают компьютеры. Что не так-то? Хотя винда и каспер у аэнбэшника доставляют, да.
teecat
09.10.2017 10:25+1Да, крута трава в чуйской долине.
Как известно, антивирус отправляет домой сигнатуры новых найденных вирусов.
И круты антивирусы, на лету приготовляющие сигнатуры из найденных файлов. А еще интересно, где у антивируса дом
Статью можно разбирать на перлы
Order_of-Dracul
10.10.2017 09:34-2Уже давно на Касперского прослеживаются информационные атаки. Конкуренция, жиза.
halted
Эта шумиха нужна, чтрбы Касперский не смог нормально выступить в Конгрессе?
runalsh
Нет, чтобы российские (и все остальные) пользователи задумались о необходимости использования продуктов от данного производителя ПО.
overmind88
Да уж, не хотелось бы оказаться пользователем ПО от АНБ
nidalee
Да, пишешь-пишешь такой троян на десятке с KAV, а он в ФСБ утекает.
Лучше поставить XP без антивируса — он не сливает данные никому! /s
Protos
В миксрософт (далее в АНБ) тоже, 10-ка же
Daimos
Шумиха для того, чтобы избавится от конкурента на рынке.
halfhope
Не обязательно, тут может быть что угодно. Может быть мы даже игроков не видим.