КАЗУС КАСПЕРСКОГО И КИБЕРШПИОНАЖ: КАК РОССИЯ ОТКРЫЛА «ЯЩИК ПАНДОРЫ»

Автор публикации: Sean Brian Townsend — независимый исследователь в области информационной и компьютерной безопасности, участник и спикер Украинского киберальянса рассказывает, как Касперский и ФСБ притворились «хакерами» The Shadow Brokers, чтобы взломать и слить секретные разработки АНБ США. Из-за этого слива произошли эпидемии вымогателей WannaCry, NotPetya и BadRabbit.

Мифы и реальность об антивирусных программах

Вокруг антивирусных компаний (AV) зачастую вертится много мифов. Пользователи обвиняют их в двух смертных грехах: в том, что они сами пишут вирусы для собственного обогащения, и в том, что антивирус может использоваться для слежки. Мифы эти ложны, но очень живучи, и производителям AV не удаётся избавиться от таких теорий заговора десятилетиями. Подозрительность возникает из-за того, что использование антивирусных программ основано на доверии.

«Лаборатория Касперского» крепилась 25 лет, но однажды всё же не удержалась. И запомнят этот антивирус теперь не как защитника, а как в анекдоте о строителе, козе и человеческой благодарности.

Мифы о хакерах

О хакерах мифов не меньше. В массовой культуре хакинг воспринимается как «суперсила». Как говорил Артур Кларк: «Достаточно развитая технология неотличима от магии». Персонаж в маске Гая Фокса якобы нажимает несколько кнопок и вытаскивает пароли «из-под звёздочек», переводит миллион долларов или переключает туннель на встречное движение, сея панику и разрушения. Так не бывает. Точнее, бывает, но не совсем так.

Большинство хакеров работают в какой-то одной области и берут количеством, стабильностью и простотой технологий, а не эзотерическим компьютерным вуду. В основе лежат простые экономические и статистические закономерности. Лучше тысячу раз по рублю, чем один раз тысячу. Шансы несоизмеримы. Поэтому стоимость целевой атаки начинается от нескольких тысяч долларов. На разработку хакерских инструментов требуется время (оно же деньги), которое можно потратить на что-то более полезное, чем попытки пробить головой стену.

Я это говорю, чтобы подчеркнуть, что есть узнаваемые шаблоны поведения, отличающие хакеров от тех, кто пытается ими притворяться. И всегда есть соблазн списать собственные ошибки или запутать следы, свалив всё на хакерскую атаку («Ай воз хакд», «Вирус "съел" файл с проектом бюджета», The Shadow Brokers). Мало кто понимает, как работают хакеры, и оправдания выглядят вполне достоверно. А вот спецслужбам нужна вполне конкретная информация, они не ограничены ни временем, ни деньгами, ни какими-либо этическими соображениями. Национальная безопасность и точка.

История с утечкой из NSA (Агентство Национальной Безопасности США) длилась годами. В феврале 2015 года «Лаборатория Касперского» опубликовала отчёт о Equation Group(кодовое название, придуманное Касперским для подразделения АНБ, якобы проводящего киберразведку). В марте того же года Агентство только оправилось после утечки Сноудена и достаточно прямо намекнуло российским безопасникам, что они влезли не на ту полянку. Bloomberg опубликовало статью «Компания, которая защищает ваш Интернет, имеет тесные связи с русскими шпионами». Основатель компании Евгений Касперский сделал вид, что намёков не понимает.

Сам факт сотрудничества Касперского со спецслужбами России, естественно, ни для кого не секрет. Бизнес Касперского начался с того, что его поддержал бывший преподаватель из ВШ КГБ Решетников, и сотрудники компании не только не скрывают сотрудничество со спецслужбами, но и гордятся им:

«В кабинет периодически заходит милиция. Когда я подошёл к столу, около него уже сидели двое. «Поговорим через пять минут», — попросил их Шевченко и пригласил меня присесть. «Это отдел «К». Пришли за очередным отчётом, — сказал он, когда люди притворили за собой дверь. — У нас и ФСБ регулярно бывает…» Шевченко даже не поморщился, упоминая эти буквы. (Новая Газета «Гостев из будущего»сентябрь 2005-го)

Почему АНБ взялось за Касперского только в 2017-м

«Почему АНБ запретили использовать софт Касперкого только в 2017 году, а не раньше? Он же шпион КГБ?!» — спросит читатель. Дело в том, что тогда речь шла только об образцах вредоносного ПО. Образец (или на профессиональном сленге семпл, тело) — только фрагмент большой программы. Тот самый вирус, который и должны ловить антивирусы. В настоящее время вирусов появляется так много, что ни один человек, ни одна компания не справится с их анализом. Большую часть вирусов ловит автоматика, а в антивирус встроены десятки тысяч нечётких правил, и когда файл кажется слишком подозрительным, антивирус отправляет его в родную компанию для анализа. Так устроено большинство антивирусов.

Спецслужбы разных стран мира неоднократно ловили за руку из-за написания вирусов, и антивирусы их также ловят. Если бы речь шла только о семплах, то американские спецслужбы промолчали бы и даже не стали бы грозить Касперскому пальцем свободной прессы. У них уже были подозрения, что в этот раз всё пошло совсем не так, как обычно. После того как летом 2016-го был взломан DNC (демократическая партия США), россиян обвинили во взломе. И тут же, в августе, появляется никому не известная хакерская группа The Shadow Brokers и заявляет, что они взломали Equation Group. И начали выкладывать не просто аналитику или семплы, а полные комплекты хакерского софта вместе с документацией. Деньги, как и в случае с NotPetya, никого на самом деле не интересовали.

Хакеры или спецслужбы (поведенческий анализ без знака равенства)

Серьёзная ошибка. Если бы это были хакеры, то они бы заявили, что взломали NSA или группу оперативного доступа АНБ (TAO — Office of Tailored Access Operations), но наверняка они не стали бы называть группу условным именем, которое (внимание!) им дал Касперский. Не говоря уже о том, что хакеры просто так не слили бы в открытый доступ инструменты стоимостью в несколько миллионов долларов (!) Странно, взломать компьютер и не понять, кому именно он принадлежит. АНБ иногда называет себя в шутку No Such Agency («Нет Такого Агентства»), но уж никак не кличкой «Equation Group», которую придумал какой-то россиянин.

Люди, которые стоят за The Shadow Brokers, либо не смогли оценить относительную важность опубликованных инструментов, либо, наоборот, понимали, что такие уязвимости, как Eternal Blue и Eternal Romance, будут немедленно использованы чёрными хакерами. Или теми, кто решит притвориться чёрными хакерами. И это отвлечёт внимание общественности от Трамп-гейта, российских хакеров и шпионских операций. Так и произошло, «вымогатели» WannaCry, NotPetya и BadRabbit используют слитые The Shadow Brokers разработки АНБ.

Однако «хакерский скандал» не утихал, The Shadow Brokers продолжали сливать разработки АНБ. И агентству это окончательно надоело. Весной 2017 года начинается обсуждение запрета на использование Антивируса Касперского в государственном секторе США, и после того как запрет был принят, от продаж русского антивируса отказались крупные американские ритейлеры. Почему так поздно? Россияне и американцы не единственные участники кибервойны, в том же 2015 году в кибервойну вступили спецслужбы Израиля (кодовое имя «Duqu»).

Израильская разведка взломала Лабораторию Касперского и несколько других крупных технологических компаний. Взлом был обнаружен в июне 2015-го («Kaspersky Lab investigates hacker attack on its own network» — лаборатория Касперского расследует хакерскую атаку на собственную корпоративную сеть). А Израиль вмешался неспроста. Касперский не в первый раз вставляет палки в колёса разведке (Stuxnet). Поэтому привлёк к себе внимание самых сильных игроков. Узел завязался плотно. У Касперского на шее.

Что же произошло? Моя версия

Касперскому стало тесно на рынке антивирусов. Добавлять в базу 100500 тысячный (и это как раз не преувеличение) банковский троян очень скучно. И Лаборатория Касперского полезла в шпионские игры. Из каталога ANT NSA (Сноуден. Декабрь 2013 (!)) они узнали кодовые названия секретных программ АНБ. Такие как COTTONMOUTH («хлопковый рот»). Дальше можно поискать это слово среди накопленных подозрительных файлов (их у Касперского десятки, если не сотни миллионов). Можно добавить специальную процедуру в антивирусную базу.

В современных антивирусах базы состоят не только из шаблонов для поиска, но и из кода. И когда Касперский предлагает американцам проверить код своего антивируса на наличие «закладок» — это обыкновенное лукавство. В антивирусной базе тысячи подпрограмм, проверить их все нет никакой возможности, и они могут измениться после первого же обновления. Код может выглядеть так: любой файл, в котором есть слово из 11 букв, которые в сумме дают 164 (A=1, B=2,…) нужно отправить в «центр» для дополнительного анализа. Таким образом файл, содержащий строку «COTTONMOUTH», будет отправлен в KSN («Kaspersky Security Network» — хранилище подозрительных файлов). Алгоритм может использоваться чуть более сложный, чем простое сложение, и никакой анализ кода не позволит доказать, что Касперский искал секретную американскую разработку, а не какой-нибудь доисторический вирус времён MS-DOS.

Когда американцы поняли, что Касперкий изучает их вирусы не случайно, а целенаправленно, тогда-то они и послали предупреждение через Bloomberg. Из-за случайного единичного провала никто не стал бы заморачиваться, чтобы не нарушить режим секретности. Но израильтяне, которые взломали Лабораторию, по всей видимости, нашли там не отдельные тушки вирусов, а в том числе и документы, и вспомогательный не вредоносный код. Касперский вычислил не только вирусы, но и компьютеры, где их писали и тестировали. Что на этих компьютерах делал антивирус Касперского — отдельный разговор. Евгений Касперский не удержался и нарушил первую заповедь антивирусных компаний — не использовать собственный продукт для взлома, и выгреб содержимое компьютеров подчистую. А потом вероятно занялся шантажом: «Либо вы прекращаете обвинять российских хакеров, либо The Shadow Brokers сольют информацию о том, как вы взламываете других». Возможно, что вначале Касперский передал информацию ФСБ, а те в свою очередь, не смогли воспользоваться украденным софтом и использовали его для политического давления.

J’accuse! Я абсолютно уверен в том, что Лаборатория Касперского и группа «хакеров» The Shadow Brokers — одно и тоже. Независимо от того, стоит ли за Касперским ФСБ, или он сделал всё самостоятельно. Побочное ответвление от этой истории — «Киберберкут» и взлом ЦИК в мае 2014. «Киберберкут» — low tech группа, через которую идут в основном сливы. Но после взлома они заявили, что использовали эксплоит нулевого дня в Cisco. Могли написать всё что угодно, могли промолчать, но написали именно так. Тогда им никто не поверил. Но эксплоиты нулевого дня для Cisco принадлежат АНБ, и они были опубликованы The Shadow Brokers в первом же дампе «Equation Group».

Часть выводов пока умозрительна, но в целом всё выглядит именно так, как я и предполагал. Теперь у нас есть все составные части головоломки — Администрация Президента РФ, которая задаёт общий политический курс, разномастные чёрные хакеры, которых используют от случая к случаю и которые могут быть как настоящими хакерами, так и легендой прикрытия, и Федеральная служба безопасности, которая плотно сотрудничает с производителями ПО и фирмами, которые занимаются информационной безопасностью.

И тут не глупый, на первый взгляд, человек совершает практически фатальную ошибку. Евгений Касперский в интервью Associated Press подтвердил факт, что у него были не только тушки вирусов (они могли попасть к нему естественным образом), но и дополнительный софт и секретные документы, которые можно было получить только путём взлома.

Касперский утверждает, что файлы оказались у специалистов компании во время сбора информации о хакерской группировке Equation Group, которая якобы сотрудничала с АНБ. По словам бизнесмена, узнав о неожиданной находке, он потребовал немедленно удалить эти данные. («Лаборатория Касперского» случайно скачала секретные документы АНБ»)

Неважно даже, «удалил» он их или нет. На самом деле — нет. Самое важное, что Касперский признал, что действительно условно «распял мальчика в одних трусиках», то есть использовал антивирус для взлома и шпионажа. И, как минимум, спровоцировал (если не организовалвирусную пандемию. Открыл ящик Пандоры, в котором на дне никакой надежды нет в принципе!

Если договорённость один раз нарушена (как это было с Будапештским меморандумом), то система коллективной безопасности больше не работает. И мы имеем дело не с привычным поединком шпионов, а участвуем в мировой кибервойне. Как и в случае с российско-украинской войной, россияне даже не поняли, что переступили невидимую, но очень важную границу. И теперь могут махать руками и причитать «А нас за что?», «Почему им можно, а нам нельзя?» Они действительно не понимают, но это ничего не меняет, потому что из-за их безумных действий уже необратимо изменился весь мир.

Партнери