Последний джедай. Как Евгений Касперский нашел "Звезду смерти"

"Лаборатория Касперского" сообщила о завершении внутреннего расследования инцидента, в результате которого российская компания получила доступ к секретным документам Агентства национальной безопасности США (АНБ). Эта история вполне достойна того, чтобы по ней был снят детективный блокбастер. Рассказываем, как было дело.

Фото: ТАСС/Валерий Шарифулин

11 сентября 2014 года некий гражданин США, проживающий в Балтиморе (примерно в 30 километрах от штаб-квартиры АНБ в Форт-Миде), решил скачать пиратскую программу − генератор ключей для Microsoft Office. Установленный на его компьютере антивирус “Касперского" заблокировал эту попытку.

Пользователь просто отключил антивирус и все-таки установил программу на свой компьютер. Через некоторое время, воспользовавшись генератором ключей по назначению, он снова запустил антивирус, который моментально обнаружил на компьютере троян Mokes, известный и как Smoke Bot и Smoke Loader. Mokes был благополучно заблокирован "Касперским", а код вредоносной программы в соответствии с регламентом работы антивируса был отправлен аналитикам компании для подробного изучения.

Пользователь, увидев сообщение антивируса об обнаруженном трояне, благоразумно решил на всякий случай провести полную проверку своего компьютера на наличие других вирусов. В ходе этой проверки в одном из архивных файлов под названием "7zip" была обнаружена еще одна вредоносная программа.

Соответственно, этот файл объемом 45 мегабайт был заблокирован, скопирован и отправлен на анализ в "Лабораторию Касперского", где один из аналитиков начал просматривать его вручную. Поняв, что содержится в архиве, аналитик немедленно переслал его самому Касперскому. И, судя по всему, тот день стал одним из худших в жизни Евгения Валентиновича.

Фото: depositphotos/REDPIXEL

"Звезда смерти" в галактике вирусов

Дело в том, что скачанный архивный файл содержал программный код, используемый хакерской группировкой Equation, одной из самых мощных в мире. В начале 2015 года "Лаборатория Касперского" даже подготовила об этой группе специальное исследование с красноречивым названием "Equation: "Звезда смерти" галактики вредоносного ПО".

"Домены командных серверов, используемых группировкой Equation, были, судя по всему, зарегистрированы еще в 1996 году. Это может означать, что группировка действует уже почти два десятилетия, − отмечали авторы этого документа. − Она много лет взаимодействует с другими влиятельными группировками – например, с теми, что стоят за Stuxnet, причем каждый раз с позиции превосходства: Equation всегда получала доступ к вредоносным программам раньше других групп".

По оценкам "Лаборатории Касперского", начиная с 2001 года группировка Equation сумела заразить по всему миру компьютеры "тысяч, возможно даже десятков тысяч, жертв, относящихся к следующим сферам деятельности: правительственные и дипломатические учреждения; телекоммуникации; аэрокосмическая отрасль; энергетика; ядерные исследования; нефтегазовая отрасль; военные; нанотехнологии; исламские активисты и теологи; СМИ; транспорт; финансовые организации; компании, разрабатывающие технологии шифрования".

В частности, в 2008 году Equation запустила червь Fanny. "Главная задача, решаемая Fanny, − получение подробных сведений об изолированных сетях, отделенных от внешнего мира так называемым воздушным барьером, то есть не подключенных к интернету, − отмечается в исследовании. − Для решения этой задачи червь использовал уникальный механизм офлайновой связи с командными серверами, основанный на применении USB-накопителей для передачи команд и данных между изолированными сетями и командным сервером, причем в обе стороны".

Модуль nls_933w.dll позволяет изменять встроенную микропрограмму (прошивку) жестких дисков 12 наиболее популярных производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor и IBM.
Однако наиболее мощным инструментом в арсенале группировки Equation является модуль, известный как nls_933w.dll. "Этот модуль позволяет изменять встроенную микропрограмму (прошивку) жестких дисков 12 наиболее популярных производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor, IBM и т. д. Это поразительное техническое достижение, позволяющее сделать выводы об уровне возможностей группы", − подчеркивают специалисты “Касперского”.

И вот осенью 2014 года аналитик “Касперского” обнаружил в архивном файле, присланным из США, "несколько образцов вредоносного ПО и исходный код (!) Equation". Мало того, в том же архиве содержалось четыре секретных документа АНБ США, что означает только одно: Equation – порождение Агентства национальной безопасности США.

А его младший партнер, Stuxnet, упоминаемый в исследовании о "Звезде смерти", − аналогичное подразделение израильских спецслужб. Эта группировка прославилась хакерской атакой, в результате которой была остановлена работа иранских центрифуг для обогащения урана в 2010 году. Тогда "Лаборатория Касперского", расследуя появление Stuxnet, заявила, что "этот тип атак может проводиться только при государственной поддержке".

Неудивительно, что Евгений Касперский приказал немедленно удалить с компьютеров компании секретные документы АНБ, надеясь, что на этом история закончится. Но она не закончилась.

Фото: ТАСС/Вячеслав Прокофьев

С больной головы на здоровую

Вскоре после публикации исследования о связи Equation и Stuxnet, "Лаборатория Касперского" сама стала объектом хакерской атаки. Хакеры из израильских спецслужб – вероятно, та же группировка Stuxnet − взломали внутреннюю сеть компании и нашли на ее компьютерах программный код Equation. Поскольку они точно знали, кто является автором этой программы, то немедленно оповестили Агентство национальной безопасности США об утечке секретной информации.

АНБ немедленно развернуло внутреннее расследование в попытке выяснить, как русские могли получить его материалы. В результате длительных поисков АНБ к началу этого года вышло на сотрудника своего элитного подразделения по оперативному проникновению в компьютерные сети противника, "гражданина США, родившегося во Вьетнаме". Он жил в Балтиморе и иногда работал с секретными материалами на своем домашнем компьютере, где была установлена антивирусная программа “Касперского”.

Следователи пришли к выводу, что именно этот антивирус позволил сотрудникам Kaspersky Lab прочитать и скопировать секретные файлы АНБ, после чего против "Лаборатории Касперского" была развернута массированная информационная атака.

В феврале этого года АНБ выпустило "секретный" доклад, содержание которого сразу стало известно американским СМИ, где высказывалось предположение, что хакеры могут использовать антивирусы “Касперского” для слежки за пользователями компьютеров и для атак на американскую инфраструктуру.

АНБ выпустило доклад, что хакеры могут использовать антивирусы “Касперского” для слежки за пользователями компьютеров и для атак на американскую инфраструктуру/
В мае руководители ЦРУ, АНБ, ФБР и Национальной разведки на слушаниях в сенате публично заявили, что использование программного обеспечения “Касперского” может быть опасным. В середине июля агентство Bloomberg опубликовало большой материал под заголовком "Лаборатория Касперского сотрудничает с российской разведкой", в котором сообщалось, что компания поставляла российским госструктурам программное обеспечение для защиты от DDoS-атак.

В сентябре министерство внутренней безопасности США отдало распоряжение федеральным гражданским ведомствам удалить программное обеспечение "Лаборатории Касперского". Кроме того, как сообщают американские СМИ, ФБР запустило серию закрытых брифингов для представителей крупных американских компаний, где рассказывает об опасностях шпионажа, диверсий и атак на инфраструктуру, которые якобы можно осуществлять с применением программного обеспечения “Касперского”.

Фото: ТАСС/Сергей Савостьянов

Открытый миру Касперский

Сам Евгений Касперский все подобные обвинения отрицает. "В отличие от версии, озвученной в некоторых СМИ, не было найдено доказательств, что исследователи "Лаборатории Касперского" когда-либо пытались целенаправленно искать документы с пометками "совершенно секретно", "засекречено" и другими аналогичными", − отмечается в пресс-релизе компании.

Чтобы развеять подозрения относительно связи с российскими спецслужбами, "Лаборатория Касперского" даже выразила готовность предоставить властям США исходный код своих программных продуктов. Но американцы не проявили заинтересованности.

Тогда компания пообещала в первом квартале 2018 года привлечь независимых экспертов для анализа программных продуктов компании "с целью развеять слухи об использовании российским правительством антивирусных решений ЛК для шпионажа".

Согласно заявлению "Лаборатории Касперского", анализ исходного кода ее продуктов проведут всемирно известные эксперты по кибербезопасности. Касперский также намерен "привлечь третьи стороны для независимой оценки процессов разработки ПО с целью убедиться в прозрачности деятельности компании". Кроме того, компания также увеличит максимальную награду в рамках программы выплаты вознаграждений за найденные уязвимости в ее продуктах с 5 тысяч до 100 тысяч долларов.



Рубченко Максим

Подпишитесь на нашу рассылку

Материалы по тегам

Яндекс.Метрика