Казус Касперського і кібершпіонаж: як Росія відкрила «скриньку Пандори»

1. Міфи і реальність про антивірусні програми
2. Міфи про хакерів
3. Чому АНБ взялося за Касперського тільки в 2017-му
4. Хакери або спецслужби (поведінковий аналіз без знака рівності)
5. Що ж сталося? моя версія

Як Касперський і ФСБ прикинулися «хакерами» The Shadow Brokers, щоб зламати і злити секретні розробки АНБ США.

Автор публікації: Sean Brian Townsend - незалежний дослідник в області інформаційної та комп'ютерної безпеки, учасник і спікер українського кіберальянса розповідає, як Касперський і ФСБ прикинулися «хакерами» The Shadow Brokers, щоб зламати і злити секретні розробки АНБ США. Через це слива відбулися епідемії вимагачів WannaCry, NotPetya і BadRabbit.

Міфи і реальність про антивірусні програми

Навколо антивірусних компаній (AV) найчастіше крутиться багато міфів. Користувачі звинувачують їх у двох смертних гріхах: у тому, що вони самі пишуть віруси для власного збагачення, і в тому, що антивірус може використовуватися для стеження. Міфи ці помилкові, але дуже живучі, і виробникам AV не вдається позбутися від таких теорій змови десятиліттями. Підозрілість виникає через те, що використання антивірусних програм засновано на довірі.

«Лабораторія Касперського» кріпилася 25 років, але одного разу все ж таки не втрималася. І запам'ятають цей антивірус тепер не як захисника, а як в анекдоті про будівельника, козі і людської вдячності.

Міфи про хакерів

Про хакерів міфів не менше. У масовій культурі хакинг сприймається як «суперсила». Як говорив Артур Кларк: «Досить розвинена технологія відрізнити від магії». Персонаж в масці Гая Фокса нібито натискає кілька кнопок і витягує паролі «з-під зірочок», переводить мільйон доларів або перемикає тунель на зустрічний рух, сіючи паніку і руйнування. Так не буває. Точніше, буває, але не зовсім так.

Більшість хакерів працюють в якійсь одній області і беруть кількістю, стабільністю і простотою технологій, а не езотеричним комп'ютерним вуду. В основі лежать прості економічні і статистичні закономірності. Краще тисячу разів по рублю, ніж один раз тисячу. Шанси несумірні. Тому вартість цільової атаки починається від декількох тисяч доларів. На розробку хакерських інструментів потрібен час (воно ж гроші), яке можна витратити на щось більш корисне, ніж спроби пробити головою стіну.

Я це говорю, щоб підкреслити, що є впізнавані шаблони поведінки, що відрізняють хакерів від тих, хто намагається ними прикидатися. І завжди є спокуса списати власні помилки або заплутати сліди, зваливши все на хакерську атаку ( «Ай віз хакд», «Вірус" з'їв "файл з проектом бюджету», The Shadow Brokers). Мало хто розуміє, як працюють хакери, і виправдання виглядають цілком вірогідно. А ось спецслужбам потрібна цілком конкретна інформація, вони не обмежені ні часом, ні грошима, ні будь-якими етичними міркуваннями. Національна безпека і крапка.

Історія з витоком з NSA (Агентство Національної Безпеки США) тривала роками. У лютому 2015 року «Лабораторія Касперського» опублікувала звіт про Equation Group (кодова назва, вигадане Касперського для підрозділу АНБ, нібито проводить кіберрозвідку). У березні того ж року Агентство тільки оговталося після витоку Сноудена і досить прямо натякнув російським безпечники, що вони влізли не на ту галявину. Bloomberg опублікувало статтю «Компанія, яка захищає ваш Інтернет, має тісні зв'язки з російськими шпигунами» . Засновник компанії Євген Касперський вдав, що натяків не розуміє .

Сам факт співпраці Касперського зі спецслужбами Росії, природно, ні для кого не секрет. Бізнес Касперського почався з того, що його підтримав колишній викладач з ВШ КДБ Решетніков, і співробітники компанії не тільки не приховують співпрацю зі спецслужбами, але і пишаються ним:

«До кабінету періодично заходить міліція. Коли я підійшов до столу, біля нього вже сиділи двоє. «Поговоримо через п'ять хвилин», - попросив їх Шевченко і запросив мене присісти. «Це відділ« К ». Прийшли за черговим звітом, - сказав він, коли люди причинили за собою двері. - У нас і ФСБ регулярно буває ... »Шевченко навіть не скривився, згадуючи ці літери. (Новая Газета «Гостєв з майбутнього» , Вересень 2005-го)

Чому АНБ взялося за Касперського тільки в 2017-му

«Чому АНБ заборонили використовувати софт Касперкого тільки в 2017 році, а не раніше? Він же шпигун КДБ ?! »- запитає читач. Справа в тому, що тоді йшлося лише про зразки шкідливого ПЗ. Зразок (або на професійному сленгу семпл, тіло) - тільки фрагмент великої програми. Той самий вірус, який і повинні ловити антивіруси. В даний час вірусів з'являється так багато, що жодна людина, жодна компанія не впорається з їх аналізом. Більшу частину вірусів ловить автоматика, а в антивірус вбудовані десятки тисяч нечітких правил, і коли файл здається занадто підозрілим, антивірус відправляє його в рідну компанію для аналізу. Так влаштовано більшість антивірусів.

Спецслужби різних країн світу неодноразово ловили за руку з-за написання вірусів, і антивіруси їх також ловлять. Якби мова йшла тільки про семплах, то американські спецслужби промовчали б і навіть не стали б загрожувати Касперському пальцем вільної преси. У них уже були підозри, що в цей раз все пішло зовсім не так, як зазвичай. Після того як влітку 2016- го був зламаний DNC (демократична партія США), росіян звинуватили у зломі. І тут же, в серпні, з'являється нікому невідоме хакерська група The Shadow Brokers і заявляє, що вони зламали Equation Group. І почали викладати не просто аналітику або семпли, а повні комплекти хакерського софту разом з документацією. Гроші, як і в випадку з NotPetya, нікого насправді не цікавили.

Хакери або спецслужби (поведінковий аналіз без знака рівності)

Серйозна помилка. Якби це були хакери, то вони б заявили, що зламали NSA або групу оперативного доступу АНБ (TAO - Office of Tailored Access Operations), але напевно вони не стали б називати групу умовним ім'ям, яке (увага!) Їм дав Касперський. Не кажучи вже про те, що хакери просто так не злили б у відкритий доступ інструменти вартістю в кілька мільйонів доларів (!) Дивно, зламати комп'ютер і не зрозуміти, кому саме він належить. АНБ іноді називає себе жартома No Such Agency ( «Ні Такого Агентства»), але аж ніяк не кличкою «Equation Group», яку придумав якийсь росіянин.

Люди, які стоять за The Shadow Brokers, або не змогли оцінити відносну важливість опублікованих інструментів, або, навпаки, розуміли, що такі уразливості, як Eternal Blue і Eternal Romance, будуть негайно використані чорними хакерами. Або тими, хто вирішить прикинутися чорними хакерами. І це відверне увагу громадськості від Трамп-гейта, російських хакерів і шпигунських операцій. Так і сталося, «вимагачі» WannaCry, NotPetya і BadRabbit використовують злиті The Shadow Brokers розробки АНБ.

Однак «хакерський скандал» не вщухав, The Shadow Brokers продовжували зливати розробки АНБ. І агентству це остаточно набридло. Навесні 2017 року розпочинається обговорення заборони на використання Антивірус Касперського в державному секторі США, і після того як заборона була прийнята, від продажу російського антивірусу відмовилися великі американські рітейлери. Чому так пізно? Росіяни і американці не єдині учасники кібервійни, в тому ж 2015 року в кібервійну вступили спецслужби Ізраїлю (кодове ім'я «Duqu»).

Ізраїльська розвідка зламала Лабораторію Касперського і кілька інших великих технологічних компаній. Злом був виявлений в червні 2015 го ( « Kaspersky Lab investigates hacker attack on its own network » - лабораторія Касперського розслідує хакерську атаку на власну корпоративну мережу). А Ізраїль втрутився неспроста. Касперський не в перший раз вставляє палки в колеса розвідці (Stuxnet). Тому привернув до себе увагу найсильніших гравців. Вузол зав'язався щільно. У Касперського на шиї.

Що ж сталося? моя версія

Касперському стало тісно на ринку антивірусів. Додавати в базу 100500 тисячний (і це як раз не перебільшення) банківський троян дуже нудно. І Лабораторія Касперського полізла в шпигунські ігри. З каталогу ANT NSA (Сноуден. Грудень 2013 (!)) Вони дізналися кодові назви секретних програм АНБ. Такі як COTTONMOUTH ( «бавовняний рот»). Далі можна пошукати це слово серед накопичених підозрілих файлів (їх у Касперського десятки, якщо не сотні мільйонів). Можна додати спеціальну процедуру в антивірусну базу.

В сучасних антивирусах бази складаються не тільки з шаблонів для пошуку, але і з коду. І коли Касперський пропонує американцям перевірити код свого антивіруса на наявність «закладок» - це звичайне лукавство. В антивірусній базі тисячі підпрограм, перевірити їх все немає ніякої можливості, і вони можуть змінитися після першого ж оновлення. Код може виглядати так: будь-який файл, в якому є слово з 11 букв, які в сумі дають 164 (A = 1, B = 2, ...) потрібно відправити в «центр» для додаткового аналізу. Таким чином файл, що містить рядок «COTTONMOUTH», буде відправлений у KSN ( «Kaspersky Security Network» - сховище підозрілих файлів). Алгоритм може використовуватися трохи складніший, ніж просте додавання, і ніякий аналіз коду не дозволить довести, що Касперський шукав секретну американську розробку, а не якийсь там доісторичний вірус часів MS-DOS.

Коли американці зрозуміли, що Касперкій вивчає їх віруси не випадково, а цілеспрямовано, тоді-то вони і послали попередження через Bloomberg. Через випадкового одиничного провалу ніхто не став би морочитися, щоб не порушити режим секретності. Але ізраїльтяни, які зламали Лабораторію, по всій видимості, знайшли там непоодинокі тушки вірусів, а в тому числі і документи, і допоміжний НЕ шкідливий код. Касперський обчислив не тільки віруси, але і комп'ютери, де їх писали і тестували. Що на цих комп'ютерах робив антивірус Касперського - окрема розмова. Євген Касперський не втримався і порушив першу заповідь антивірусних компаній - не використовувати власний продукт для злому, і вигріб вміст комп'ютерів дочиста. А потім ймовірно зайнявся шантажем: «Або ви припиняєте звинувачувати російських хакерів, або The Shadow Brokers зіллють інформацію про те, як ви зламувати інших». Можливо, що спочатку Касперський передав інформацію ФСБ, а ті в свою чергу, не змогли скористатися вкраденим софтом і використовували його для політичного тиску.

J'accuse! Я абсолютно впевнений в тому, що Лабораторія Касперського і група «хакерів» The Shadow Brokers - одне і теж. Незалежно від того, чи варто за Касперського ФСБ, або він зробив все самостійно. Побічна відгалуження від цієї історії - «КіберБеркут» і злом ЦВК в травні 2014. «КіберБеркут» - low tech група, через яку йдуть в основному сливи. Але після злому вони заявили, що використовували експлоїт нульового дня в Cisco. Могли написати все що завгодно, могли промовчати, але написали саме так. Тоді їм ніхто не повірив. Але експлоїти нульового дня для Cisco належать АНБ, і вони були опубліковані The Shadow Brokers в першому ж дампі «Equation Group».

Частина висновків поки умоглядно, але в цілому все виглядає саме так, як я і припускав . Тепер у нас є всі складові частини головоломки - Адміністрація Президента РФ, яка задає загальний політичний курс, різномасті чорні хакери, яких використовують час від часу і які можуть бути як справжніми хакерами, так і легендою прикриття, і Федеральна служба безпеки, яка щільно співпрацює з виробниками ПО і фірмами, які займаються інформаційною безпекою.

І тут не дурний, на перший погляд, людина робить практично фатальної помилки. Євген Касперський в інтерв'ю Associated Press підтвердив факт, що у нього були не тільки тушки вірусів (вони могли потрапити до нього природним чином), але і додатковий софт і секретні документи, які можна було отримати тільки шляхом злому.

Касперський стверджує, що файли виявилися у фахівців компанії під час збору інформації про хакерську угрупованню Equation Group, яка нібито співпрацювала з АНБ. За словами бізнесмена, дізнавшись про несподівану знахідку, він зажадав негайно видалити ці дані. ( «Лабораторія Касперського» випадково скачала секретні документи АНБ »)

Неважливо навіть, «видалив» він їх чи ні. Насправді ні. Найважливіше, що Касперський визнав, що дійсно умовно «розіп'яв хлопчика в одних трусиках», тобто використовував антивірус для злому і шпигунства. І, як мінімум, спровокував (якщо не організував) вірусну пандемію. Відкрив ящик Пандори, в якому на дні ніякої надії немає в принципі!

Якщо домовленість один раз порушена (як це було з Будапештським меморандумом), то система колективної безпеки більше не працює. І ми маємо справу не зі звичним поєдинком шпигунів, а беремо участь у світовій кібервійни. Як і у випадку з російсько-української війною, росіяни навіть не зрозуміли, що переступили невидиму, але дуже важливу межу. І тепер можуть махати руками і голосити «А нас за що?», «Чому їм можна, а нам не можна?» Вони справді не розуміють, але це нічого не змінює, тому що через їх божевільних дій незворотно змінився весь світ.