Киберподлог по-американски: как ЦРУ выдаёт себя за «Лабораторию Касперского»
Как ЦРУ выдаёт себя за «Лабораторию Касперского»
- Штаб-квартира ЦРУ в Лэнгли, штат Виргиния
- AFP
- © BRENDAN SMIALOWSKI
Ресурс WikiLeaks в рамках отчёта Valut 8 начал публиковать детали программного кода шпионских программ. В результате выяснилось, что в трёх вскрытых WikiLeaks случаях ЦРУ подделывало сертификаты российской компании «Лаборатория Касперского».
«Мы исследовали отчёт Vault 8 и подтверждаем, что сертификаты, выпущенные от нашего имени, поддельные. Наши клиенты, персональные пароли и сервисы безопасны и не затронуты», — написал в своём Twitter генеральный директор компании «Лаборатория Касперского» Евгений Касперский.
We've investigated the Vault 8 report and confirm the certificates in our name are fake. Our customers, private keys and services are safe and unaffected
— Eugene Kaspersky (@e_kaspersky) November 9, 2017
Имитация киберследа
Напомним, WikiLeaks продолжает серию публикаций конфиденциальных документов ЦРУ под кодовым именем Valut, которая началась 7 марта 2017 года. Тогда была раскрыта информация, касающаяся шпионской деятельности ЦРУ в киберпространстве.
Разрешите подключиться: WikiLeaks опубликовал новые данные о хакерских инструментах ЦРУ
В частности, выяснилось, что Центральное разведывательное управление могло получать доступ не только к домашним и рабочим компьютерам отдельных пользователей или серверам организаций, но и к системам управления автомобилями или, например, Smart TV.
Кроме того, подразделение ЦРУ UMBRAGE занималось сбором информации о техниках, используемых хакерами разных стран. Это давало агентству возможность маскироваться под русских, китайских или северокорейских хакеров, имитируя цифровые следы их причастности к тому или иному взлому.
17 апреля 2017 года WikiLeaks опубликовал первую информацию о платформе HIVE. Эта система позволяла ЦРУ с помощью вредоносной программы получать информацию с заражённых машин. При этом программа использовала «не выглядящие подозрительно маскировочные домены, чтобы скрыть своё присутствие».
9 ноября в рамках Valut 8 WikiLeaks начал публиковать детали программного кода шпионских программ. И в первую очередь была детализована информация по HIVE. Выяснилось, что в трёх проанализированных WikiLeaks случаях ЦРУ подделывало сертификаты российской компании «Лаборатория Касперского». Таким образом, даже при обнаружении вредоносной программы пользователь воспринимал её как выпущенную российской компанией.
«Это должно было быть сенсацией вселенского масштаба. Но не будет. Авторы предыдущих сенсаций не согласятся, — прокомментировал в своём Facebook эту информацию глава комитета Совета Федерации по международным делам Константин Косачёв. — Крохотное, сквозь скважину, проникновение в мастерскую обеспечения теории заговора против американской исключительности».
По ложному следу
«Настоящие, не подвергнутые никаким изменениям, чистые документы», — так охарактеризовал новые данные WikiLeaks в эфире RT бывший аналитик ЦРУ Рэй Макговерн.
По его словам, задача платформы HIVE не только скрыть следы деятельности ЦРУ, но и «продемонстрировать, что это, возможно, русские».
«Киберпреступники стараются скрыть всё, начиная с того, какими серверами они пользуются, и до различных средств анонимизации», — отметил в беседе с RT руководитель аналитического центра компании Zecurion Владимир Ульянов.
Он подчеркнул, что очень часто хакеры пытаются пустить следствие по ложному следу.
«Для этого специально создаются псевдоулики, которые указывают на другое лицо или страну, — поясняет эксперт. — Если речь идёт о создании исходных кодов, то часто используется оставление комментариев на том или ином языке. Например, если были комментарии на корейском, все начинают думать, что это были корейские хакеры».
Ещё один классический трюк — время создания программ, отмечает Ульянов, оно фиксируется в исполняемых файлах, привязанных к определённой временной зоне. Исходя из того, были ли это рабочие часы в том или ином месте, можно выдвигать обвинения против определённых стран.
- Евгений Касперский
- globallookpress.com
- © Katerina Sulova
«Касперский — настоящая жертва этих действий, — заявил в интервью RT эксперт по кибербезопасности, глава отдела информационной безопасности международной компании Grant Thornton Consultants Пьерлуиджи Паганини. — Правительственное агентство ЦРУ занималось кибершпионажем под чужим флагом для того, чтобы труднее было определить ответственных».
«Обвинения голословны»
«Это сумасшествие»: в России ответили на обвинения США в использовании софта «Лаборатории Касперского» для шпионажа
Напомним, американские СМИ в начале октября 2017 года начали публиковать информацию о том, что якобы антивирусное оборудование «Лаборатории Касперского» выполняло шпионские функции.
Как отмечали The New York Times и The Washington Post, изначально эта информация якобы была передана американцам израильской разведкой. Ранее, в сентябре 2017 года, Министерство внутренней безопасности Соединённых Штатов предписало всем государственным службам и компаниям в трёхмесячный срок отказаться от продуктов российской компании.
Заявления о шпионской деятельности «Лаборатории Касперского» использовались в американских СМИ в качестве очередного доказательства «русской угрозы». Впрочем, как отмечают эксперты, никаких серьёзных доказательств, сравнимых с уликами против ЦРУ, которые публикует WikiLeaks, общественности представлено не было.
«Главная проблема именно в том, что все эти обвинения голословны, — утверждает Ульянов. — Кто-то, даже не эксперт в области IT или кибервооружений, просто политик, заявляет, что за этой атакой стоят русские хакеры, что они хотят вмешаться во внутренние дела, но никаких доказательств не приводится».
По словам эксперта, теоретически собрать такие доказательства можно, тем более используя ресурсы американских спецслужб.
«Но в большинстве случаев не выпускается никаких серьёзных отчётов, где с технической точки зрения было бы подтверждено, что за такой-то атакой стоят китайцы, за такой-то русские, а за такой-то Северная Корея», — подчеркнул эксперт.
Шпионский архив
Между тем в «Лаборатории Касперского» неоднократно опровергали все обвинения в кибершпионаже. Как заявил Евгений Касперский, при проведении внутреннего расследования выяснилось, что единственный инцидент, который приводят в качестве доказательства американские СМИ, имел место в 2014 году.
Тогда на компьютере одного из пользователей в США было обнаружено вредоносное программное обеспечение. Среди отправленных на анализ в компанию заражённых файлов оказался zip-архив, а в нём — программный код, использовавшийся хакерской группой Equation Group, те самые секретные данные АНБ. Оказалось, что сотрудник агентства хранил их на домашнем компьютере и зачем-то на время отключал антивирус Касперского. В это время на его компьютере и запустилась вредоносная программа.
- Штаб-квартира АНБ, Мэриленд
- © www.nsa.gov
Примечательно то, что саму Equation Group эксперты неоднократно связывали с американскими спецслужбами, а именно АНБ.
Так, финская компания F-Secure, специализирующая на кибербезопасности, утверждает, что злоумышленники использовали разработанную АНБ программу IRATEMONK, позволяющую вредоносным программам оставаться на заражённых компьютерах даже при форматировании жёстких дисков.
Месть разведок
По мнению опрошенных RT зарубежных аналитиков, пристальное внимание американских спецслужб к «Лаборатории Касперского» и попытки дискредитировать компанию вызваны тем, что это наиболее известная и крупная российская фирма, занимающаяся производством антивирусного софта в мире.
«ЦРУ должно было проявить интерес к очень успешной компании, базирующейся в России, которая предоставляет услуги интернет-защиты», — заявила в эфире RT бывший аналитик британской спецслужбы MI5 Энни Махон.
- globallookpress.com
- © Reporters
Другая причина — исследование «Лабораторией Касперского» вируса Stuxnet.
В 2015 году «Лаборатория Касперского» сообщила, что хакерская Equation Group может быть связана с разработчиками вируса Stuxnet, атаковавшего в 2010-м объекты ядерной программы Ирана.
Тогда «Лаборатория Касперского», расследуя появление Stuxnet, заявила, что «этот тип атак может проводиться только при государственной поддержке».
«Не забывайте, что «Касперский» был той фирмой, которая первой вскрыла связанную с АНБ активность по кибершпионажу по всему миру», — отметил Пьерлуиджи Паганини.
Позже последовали многочисленные заявления экспертов о причастности спецслужб США и Израиля к разработке вируса. В частности, об этом писали The New York Post и Haaretz. В 2015 году в Reuters прошла информация о том, что США пытались использовать вирус для борьбы с ядерной программой Северной Кореи.
- Газовые центрифуги, применяемые для обогащения урана, в Университете имени Шахида Бехешти в Тегеране
- Reuters
- © Caren Firouz
«Stuxnet применялся против центрифуг, которые обогащали уран, и никто не знал, откуда он взялся. Казалось, что его использовали как оружие на государственном уровне. И именно Касперский раскрыл, кто его разработал. И это были американские и израильские разведывательные агентства, — заявила Энни Махон. — После этого обе стороны были на ножах. «Лаборатория Касперского» была на прицеле как американских, так и израильских разведывательных агентств».
- Русские хакеры и оружие АНБ: как в мире отреагировали на массовую кибератаку
- Страсти по хакерам: почему в ЦРУ вновь заговорили о влиянии России на исход президентских выборов в США
- Втянули в геополитику: в «Лаборатории Касперского» возмущены ограничениями США на продукцию компании
- «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ
- Новый NotPetya: ЦБ сообщил о хакерской атаке на российские банки с помощью вируса BadRabbit
