ЦРУ маскирует свой вредоносный софт под ПО «Касперского»
WikiLeaks опубликовал код хакерского инструмента ЦРУ, с помощью которого ведомство маскировало свое вредоносное ПО, предназначенное для кражи данных, под продукцию реальных производителей софта, в том числе «Лаборатории Касперского».
Публикация WikiLeaks
Вредоносное ПО, с помощью которого Центральное разведывательное управление (ЦРУ) США извлекало информацию из чужих компьютеров, маскировалось под продукцию «Лаборатории Касперского». Маскировку осуществлял специальный инструмент под названием Hive, исходный код которого был только что обнародован ресурсом WikiLeaks в рамках проекта Vault 8.
Даже если владелец постороннего компьютера обнаруживал, что на его устройстве работает имплант — вредоносное ПО, добывающее информацию — благодаря Hive пользователь никак не мог связать его работу с ЦРУ. Когда владелец компьютера проверял, на какие сервера в интернете имплант передает информацию, Hive маскировал связь ПО с серверами ведомства. По сути, инструмент представляет собою скрытую коммуникационную платформу для вредоносного ПО ЦРУ, через которую оно отсылает в управление добытые данные и получает новые инструкции, пишет WikiLeaks.
При этом, когда вредоносное ПО проходит аутентификацию в системе серверов ЦРУ, генерируются цифровые сертификаты, которые имитируют принадлежность ПО реально существующим производителям. Три образца, присутствующих в опубликованном WikiLeaks исходном коде, подделывают сертификаты «Лаборатории Касперского» из Москвы, якобы подписанные доверенным сертификатом Thawte Premium Server в Кейптауне. Если пользователь, обнаруживший имплант, пытается понять, куда идет трафик из его сети, он подумает не на ЦРУ, а на указанного производителя ПО.
«Лаборатория» отреагировала на публикацию WikiLeaks следующим комментарием: «Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими. Ключи, сервисы и клиенты «Лаборатории Касперского» находятся в безопасности и не были затронуты».
Система серверов
Hive выполняет ряд операций с помощью имплантов, действующих на компьютере, причем каждая операция регистрируется в безобидно выглядящем домене-прикрытии. Сервер, на котором находится домен, арендуется у провайдеров коммерческого хостинга на правах виртуального частного сервера (VPS). Его софт кастомизирован под спецификации ЦРУ. Эти сервера представляют собой публичный фасад серверной системы ЦРУ, а далее они передают HTTP(S)-трафик через виртуальную частную сеть (VPN) на скрытый сервер под названием Blot.
Если кто-то заходит на домен-прикрытие, он показывает посетителю вполне невинную информацию. Единственным настораживающим отличием является нечасто используемая опция HTTPS-сервера под названием Optional Client Authentication. Благодаря ей от пользователя, просматривающего домен, не требуется аутентификация — она не обязательна. А вот имплант, связавшись с сервером, проходит ее обязательно, чтобы его смог засечь сервер Blot.
Трафик от имплантатов отправляется на шлюз управления оператором импланта под названием Honeycomb, а весь другой трафик идет на сервер-прикрытие, который поставляет безобидный контент, доступный для всех пользователей. В процессе аутентификации импланта генерируется цифровой сертификат, который и имитирует принадлежность ПО реально существующим производителям.
Проблемы «Лаборатории» в США
Публикация WikiLeaks появилась на фоне обострения конфликта «Лаборатории» с американским правительством. Конфликт начался еще в 2016 г., когда Федеральное бюро расследований (ФБР) высказало ряд опасений насчет продукции компании представителям индустрии, в том числе Координационному совету подсектора электричества – организации, в которую входят главы энергетических компании Северной Америки. В ответ на это в феврале 2017 г. Министерство внутренней безопасности США направило американским спецслужбам секретный доклад, касающийся «Лаборатории».
В апреле 2017 г. обеспокоенность возможной угрозой, исходящей от «Лаборатории», была высказана в секретном меморандуме, который был направлен директору Национальной разведки Дэну Коутсу (Dan Coats) и генеральному прокурору Джеффу Сешнсу (Jeff Sessions). Документ был подготовлен Комитетом по разведке Сената США. Комитет убедительно просил принять меры в связи с потенциальным риском, который несет в себе широкая распространенность продуктов «Лаборатории» на американском рынке.
В связи с этим Евгений Касперский выразил готовность выступить перед Сенатом США и ответить на любые его вопросы. Также «Лаборатория» заявила о готовности раскрыть американским властям исходные коды своего ПО с целью избавиться от обвинений в кибершпионаже.
Расследование ФБР и его последствия
В июне стало известно, что ФБР провело беседы с рядом сотрудников американского представительства «Лаборатории». Опрошено было как минимум 12 человек в различных местах. ФБР интересовалось подробностями работы «Лаборатории Касперского» и тем, в какой степени американское представительство компании отчитывается перед головным офисом в Москве.
В июле администрация президента США исключила «Лабораторию» из двух списков поставщиков высокотехнологичного оборудования для государственных нужд. Речь идет о двух списках Управления служб общего назначения США (U.S. General Services Administration, GSA), которое сертифицирует поставщиков и вносит их в базу данных компаний: услуги в области информационных технологий и поставки фототехники. Списки были изменены по соображениям «безопасности правительства и сети».
Обострение конфликта
В сентябре стало известно, что американские власти распорядились удалить решения «Лаборатории Касперского» из сетей госорганов США. На это ведомствам отведено 90 дней. Пентагона приказ не касается, но он и так не пользуется продукцией российской компании.
В октябре ряд крупных американских СМИ написал, что продукция «Лаборатории» была использована для кражи данных о государственной обороне США у Агентства национальной безопасности (АНБ). По данным The Wall Street Journal, данные находились на домашнем ПК подрядчика АНБ, где было установлено ПО российской компании.
Вскоре после этого New York Times сообщила, что информация об инциденте с АНБ была получена американцами от израильских спецслужб, которые смогли проникнуть в сети «Лаборатории» — предположительно, с помощью инструмента «Дуку-2». В октябре Евгений Касперский признал факт загрузки на сервера своей компании секретной информации АНБ. Однако это загрузка произошла случайно, и засекреченная информация сразу же была удалена, пояснил он.
Дополнение
Через несколько часов после публикации данного материала «Лаборатория Касперского» расширила свой комментарий, который после этого приобрел следующий вид: «Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими. Поддельные сертификаты использовались с целью замаскировать трафик, идущий от зараженного вредоносным ПО компьютера к серверам управления под трафик к серверам «Лаборатории Касперского». Любопытно, что попытку подделки сертификатов нельзя назвать удачной и никакой проверки такая маскировка не выдержит.
Все это никак не затрагивает наши продукты и наших пользователей, а также никак не нарушает безопасность передачи данных нашими продуктами.
Сервисы и клиенты «Лаборатории Касперского» находятся в безопасности, продукты компании не были затронуты, и нет никаких данных о том, что сам вирус был замаскирован под наши продукты».