Но на компьютерах разработчиков был установлен антивирус Касперского. Он, разумеется, успешно обнаруживал подозрительные куски кода и отправлял их в базу. Эффективность понесённых на покупку уязвимостей затрат не подлежит, таким образом, сомнению (сарказм).
Дальше — больше: появление такого количество уязвимостей нулевого дня примерно из одного источника заинтересовало спецов «Лаборатории Касперского». Они провели исследование, в результате которого было выяснено: ip-адреса машин, с которых приходят образцы, имеют адреса в домене itt.uz, который зарегистрирован на военную часть 02616 из Ташкента.
Доклад о деятельности узбекской киберразведки исследователь «Лаборатории Касперского» Брайан Бартоломью представил сегодня на конференции Virus Bulletin в Лондоне. Подробности — www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
Комментарии (47)
NoRegrets
03.10.2019 22:04— Шавкат, слушай, дело есть.
— Что такое, дорогой?
— Компанию отмыть надо, обижают, поможешь?
— Присылай инструкцию, Владимир.
З.Ы. Фейк. Даже дурак не будет ставить касперского на тот компьютер, на котором разрабатывается вирус.
DrPass
04.10.2019 00:53+3Я тоже так думаю, что боевым хакером там на самом деле был какой-то скучающий узбекский студент, который «покупал» свежайшие эксплойты бесплатно где-то на профильных форумах (ибо что ещё делать, если сидишь в армейке, есть компьютер, но за игры ротный башку открутит).
dimm_ddr
04.10.2019 11:25Судя по тому что это компы из ВЧ — это был скучающий призывник. А так как приказы не обсуждаются то даже если он и понимал бессмысленность своих действий вряд ли что-то моз изменить даже если бы захотел (а призывник прослуживший дольше недели очень маловероятно что будет хотеть что-то исправлять и добавлять себе работы на ровном месте).
zartarn
04.10.2019 22:56Какой то слабый аргумент habr.com/ru/news/t/467235
Проблема началась с того, что некий сотрудник АНБ работал на своем ПК с установленным антивирусом «Касперского». Последний среагировал на факт наличия тестируемой сотрудником зловредной программы и загрузил ее в Kaspersky Security Network (KSN). Таким образом, секретная информация отправилась на сервера «Лаборатории Касперского».
screwer
03.10.2019 22:06Мда. Могли бы тихонько тащить бесплатные 0day для корешей в ФСБ, а вместо этого еще раз подтвердили статус пылесоса.
Особенно это порадовало:
allowing Kaspersky to detect and grab malicious code still in development before it’s deployed; and embedding a screenshot of one of its developer’s machines in a test file,
Даже скриншот стянули, видимо он слишком вредоносным оказался....
NoRegrets
03.10.2019 22:43То что там еще и скриншот присутствует, явно указывает на то, что это вброс. Я очень сомневаюсь в том, чтобы сотрудник конторы в Лондоне не спросил разрешения у своего начальства на публикацию, т.к. эти разведданные принадлежат конторе. А местное начальство не может влезать в политические игры без ведома московского штаба. С учетом происхождения компании это именно политические игры. Ну а московский штаб пообщались бы сначала с нужными людьми и скорее всего дело было замято.
Нет, имхо. все было не так. Касперского обвинили в сотрудничестве с ФСБ и прищемили пальцы. Что делать в такой ситуации, как обелить компанию? И наши чекисты придумали схему. Шафкат согласился помочь. Ничего не подозревающему сотруднику в Лондоне интересная информация пришла совершенно неслучайно и начальство подтвердило, что информация может быть опубликована. В итоге должен был быть сделан вывод «Касперский — против использования вирусов спецслужбами и вообще за все хорошее, против всего плохого». Не то чтобы сразу обелили, но гирьку на весы положили.
Nookie-Grey
04.10.2019 19:09+1Вы смотрите слишком много шпионских фильмов и видите коварный план там, где присутствует простая человеческая глупость
rombell
06.10.2019 18:52Тотальное засилие человеческой глупости не исключает существования хитрых планов. И некоторая часть из них — успешная.
Wolf4D
03.10.2019 22:30+1Как-то в глубокой юности хотел я слегка захакереть — поизучать, как вирусы устроены изнутри. Пошёл к папе на работу, где был интернет, и бережливо, осторожно и внимательно накачал себе полный диск самых разных вирусов. Чин по чину, в архивчиках, с описаниями какими-то.
Принёс домой, заботливо уложил свою смертоносную добычу в отдельную директорию, обозначил опасность… и со спокойной душой занимался дальше своими делами.
А папа в очередной раз решил планово проверить домашний компьютер антивирусом. Когда он наткнулся на первый вирус в закачанных мной файлах, он не очень-то расстроился, легко его вылечив. Когда наткнулся на десятый, брови недоумённо поползли вверх — надо же, на работе ведь тот же Касперский, где сын так их нахватал-то? Где-то на третьем десятке вылеченных за последние 5 минут зловредов, у папы начали возникать смутные подозрения, что чего-то в этой жизни он, вероятно, не понимает. Решив поинтересоваться, где же эти все вирусы лежали, папа наткнулся на… каталог «Скачано-ВИРУСЫ-не-трогать».
Всего там их была 81 штука. Оставшиеся вирусы были пощажены оценившим красоту моей идеи папой — но коллекция уже была безнадёжно испорчена.
Так я и не стал хакером. А вирусы, наверное, так до сих пор и хранятся где-то на архивных дисках. Интересно, что-то из них до сих пор опасно?Caracat
03.10.2019 23:58Я тоже как-то не стал хакером. Осваивая ассемблер, вешал обработчики на прерывания, слушал и писал в порты, писал напрямую в видеопамять, научился заражать com и exe файлы (был заказ на защиту БД от копирования), шифровал исполняемый код, обнаруживал работу отладчика. Но Касперский не узнал про меня )))
DreamingKitten
04.10.2019 03:17Это наверняка потому, что в то время, когда заражение COM-файлов было ещё актуальным, КасперскиЛаб ещё не существовало в природе. Лечились ДрВебом и AIDSTESTом
SergeyMax
04.10.2019 07:49Когда заражение .COM-файлов было актуальным, антивирус Касперского назывался Antiviral Toolkit Pro:
YMA
04.10.2019 12:53Мы в школе такое писали для шуток друг над другом — резиденты, тихо заражающие boot/com/exe и ждущие момента, чтобы что-то проскрежетать в динамик или вывести на экран. Поскольку в то время в классе стояли PS/1 IBM с дисководами — простора было много. Из вспомнившихся фишечек — бесфайловый вирус, заражающий бут-сектор и переформатирующий дискету с сохранением данных, но добавляющий при этом лишние сектора на первые дорожки, куда и сохранял основную часть себя.
Victor_koly
04.10.2019 08:37Интересно, что-то из них до сих пор опасно?
Если иметь дырявый антивирус и отключить файловый монитор (сигнатурный), то я себе смог покоцать на харде MBR. Пришлось потом сканировать на структуру файлов, ну и Винду переставил (может как-то вышло бы восстановить загрузку, но не напрягся).
Было это что ли в 2015 году на Win 7. И конечно сидел под админом, тестил вирусы.
HanryCase
04.10.2019 08:11Касперский и есть самый главный троян. В частных компаниях его не ставят потому что тырит, в гос потому что дорого.
balamutang
04.10.2019 11:06Да прям. Бытовой кис конечно троян, который все сливает.
А корпоративные по другому работают, даже в интернет сами не ходят, а обновы получают из центра управления.
Kanlas
04.10.2019 17:47KSN (Kaspersky Security Network) обычно включен по умолчанию, так что подозрительные файлы таки отправляет
Victor_koly
04.10.2019 22:17Правда в плохом случае детект «известная по KSN фигня» превратится через какое-то время в абстрактный «HEUR:...».
Ах да, это я именно трояны тестил с KVRT древностью до месяца.
Kanlas
04.10.2019 18:01В госах только и видел, что каспера. В частных так же ставят. То, что люди не могут прочитать тоненький мануал, где рассказано про KSN, это их проблемы) Да и в настройках он почти на поверхности лежит. Оставлять все «по-дефолту», если работаешь с важными данными, глупо, это к любому антивирусу применимо, надо хоть немного настройки изучить
sidristij
04.10.2019 11:04Тут столько комментариев, что Каспер потерял источники данных, как будто лаборатория сама не лезет за инфой на чёрный рынок
kashubin
04.10.2019 12:48Вполне реальная история, особенно если смотреть из Узбекистана. Границ раздолбайству нет, да и слишком много совпадений, чтобы быть просто вбросом. Тем более, такой вброс ниразу не обеляет Касперского, т.к. прямо подтверждает все опасения и обвинения, в том, что нет какой приватности.
spc
04.10.2019 12:58Собственно, это никак К. и не очерняет, если я правильно понимаю принцип действия. То есть, телеметрия была включена явным образом (ну там по дефолту, или чьими-то шаловливыми ручками). И наверняка в соглашении с пользователем где-то рядом с кнопкой «так точно!» написано, что К. имеет право использовать эти данные по своему усмотрению.
Или я ошибаюсь?
xMushroom
04.10.2019 15:14Очерняет. Сейчас такие пользовательские соглашения не в моде, сейчас все хотят, чтобы использование данных четко было прописано.
Kanlas
07.10.2019 10:04Да оно вполне четко там прописано. В самих настройках в соответствующем разделе что-то вроде этого и пишется
Andrey_Rogovsky
04.10.2019 13:05Привет! Я — узбекский вирус.
Пожалуйста, зашифруйте у себя несколько важных файлов и удалите приватный ключ.
Спасибо.Alexey2005
04.10.2019 14:00Задолго до распространения Интернета школьники массово посылали друг другу «письма счастья», которые по сути были теми же самыми вирусами (неконтролируемое размножение плюс возможная вредоносная нагрузка). Через Интернет это, скорее всего, делается ничуть не сложнее.
«Перешлите это сообщение трём своим контактам и удалите папку windows, иначе ваша мама умрёт в страшных мучениях».
engine9
04.10.2019 22:30+1Да, только вирус был не для компьютера, а для мозга. Сети были лишь средством распространения. «Письма счастья» существовали еще до распространения телекоммуникаций.
Viceroyalty
04.10.2019 23:08Главное — на них не отвечать :)
DrPass
05.10.2019 01:16Нельзя. Там же написано, что если не перешлёте, то помрёте, или там любимый хомяк сдохнет. А вдруг правда?
iig
04.10.2019 14:04Привет! Я — узбекский
троянецантивирус. Пришлите мне в телеграм несколько файлов для проверки.
deitry
04.10.2019 15:22Будни настоящих боевых хакеров:
http://www.world-art.ru/animation/animation.php?id=958
ZetaTetra
Даже не знаю для кого это минус…
Для Кашмарского, который сливает данные.
Или для спецслужб, которые пользовались Кашмарским.
vvm13
Для Брайана Бартоломью (и/или его начальства). Раскрыли источник данных, которым могли бы пользоваться долгие годы. Предупредили другие «источники данных». Нанесли своей конторе очередной ущерб.
ZetaTetra
Я тоже про это подумал, но это надо быть совсем не умным, чтобы слить первоначальный источник получения зловредов. Вроде Кашмарский не первый день на рынке.
iat
а может что за «не первый день на рынке» они реально такое видят впервые
и обычно группировки отключают отправку отчётов в К
Alexsandr_SE
По сути это произошел слив информации, которую "никто никогда не узнает от нас". Это Касперскому минус. Делать противодействие могли, а озвучивать нет.
mickvav
Вполне возможно, что источник уже перестал присылать информацию, вот Касперский и решил попиариться…