Сноуден: спецслужбы США и Британии пытались взломать антивирусы «Лаборатории Касперского»
Агентство национальной безопасности (АНБ) США и Британское разведывательное агентство GCHQ (Government Communications Headquarter, Штаб правительственной связи) вели работы по взлому антивирусов и других софтверных систем безопасности, чтобы отслеживать поведение пользователей и фильтровать сетевой трафик, следует из документов экс-сотрудника АНБ Эдварда Сноудена, опубликованных ресурсом The Intercept. Среди целей спецслужб были и продукты «Лаборатории Касперского».
Спецслужбы «вскрывали» ПО (игнорируя юридические правила эксплуатации продуктов) и мониторили веб- и почтовый трафик с целью получить информацию о пользователях софта. «Лаборатория Касперского», часто упоминающаяся в документах, имеет холдинг, зарегистрированный в Великобритании, и, по данным компании, обслуживает более 270 тысяч корпоративных клиентов (всего же более 400 миллионов человек пользуются продукцией ЛК), отмечает ресурс.
GCHQ с помощью взломанных продуктов компании охотилась за секретными внутренними сообщениями о новых уязвимостях в софте. АНБ также искало сведения об уязвимостях и свежих вирусах, мониторя обмен данными между программами и серверами ЛК, а также читая электронную почту разработчиков.
Антивирусное ПО призвано защищать устройство пользователя от различных видов кибератак, и этому софту операционная система «доверяет» больше всего. Поэтому антивирусы — идеальная цель для потенциальных злоумышленников, отмечают эксперты. «Если вы напишете эксплойт для антивируса, вы скорее всего получите высочайший уровень доступа к компьютеру одним ударом», — поясняет сотрудник сингапурской компании Coseinc, специализирующейся на консультациях в области ИБ. При этом антивирусы, за редким исключением, менее защищены, чем, например, браузеры или текстовые редакторы. То есть Acrobat Reader, Microsoft Word или Google Chrome взломать труднее, чем 90% антивирусов на рынке, считает эксперт.
Согласно опубликованным документам, GCHQ неоднократно запрашивала (возобновляла запрос) официальное разрешение на «вскрытие» программ ЛК, обосновывая необходимость взлома тем, что «программы для персональной защиты вроде русского антивируса Касперского являются помехой для работы GCHQ» (то есть мешают собственным хакерским операциям агентства), и их взлом поможет «предотвратить обнаружение наших активностей».
Как указывает The Intercept, разрешения подобного рода выдаются, согласно пятому пункту Британского акта о разведслужбах 1994 года и должны возобновляться каждые полгода. В документах содержится запрос на разрешение, действующее с 7 июля 2008 по 7 января 2009, и позволяющее «модифицировать коммерческое ПО для организации перехвата, дешифровки и других подобных действий или реверс-инжиниринга (получения исходного кода из загрузочного с его последующим изучением — ред.) софта».
Неясно, какую именно пользу извлекло GCHQ из анализа продуктов ЛК, но ясно, что агентство регулярно использует реверс-инжиниринг для раскрытия уязвимостей ПО. Вместо того, чтобы предупредить о них компании, GCHQ «коллекционирует» эксплойты и с их помощью взламывает интересующие их «объекты», пишет издание.
Судя по документам, АНБ в 2008 году обнаружило, что чувствительную пользовательскую информацию, которую софт ЛК передает на серверы компании, можно перехватить и затем отслеживать пользователей продукта. Также АНБ научилось незаметно определять, стоит ли на интересующем их компьютере софт «Лаборатории Касперского», и можно ли его атаковать без риска быть замеченным.
В письме The Intercept представители ЛК опровергли эту информацию, заявив, что ПО компании не позволяет совершать действия против пользователей. «Информация деперсонализирована и не может указать на конкретного человека или компанию, — заявили в ЛК. — Мы предприняли все возможные меры, включая шифрование высокой надежности, чтобы защитить данные».
Издание отмечает, что месяц назад, тестируя триал-версию Kaspersky Small Business Security 4, убедилось, что большая часть трафика действительно шифруется, однако подробная информация о «железе» и установленном на компьютере ПО отправлялась на серверы компании в незашифрованном виде. Перед публикацией данного материала The Intercept получил от ЛК сообщение, что компании не удалось воспроизвести результаты редакционного «эксперимента».
Как сообщал Экспертный центр электронного государства, весной 2015 Весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. Атакующие использовали уникальные и ранее не встречавшиеся инструменты и практически не оставляли следов.
Как показал первичный анализ, главной задачей атакующих было получение информации о технологиях и исследованиях «Лаборатории Касперского». Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности зафиксировано не было.
Источник: Экспертный центр Электронного государства