• Zero tolerance mode in effect!

Кибердиверсии как оружие спецслужб

Израильские специалисты помогли обнаружить попытку взлома сети АНБ США с помощью "антивируса" Касперского.

11dc-kaspersky1-master768.jpg

How Israel Caught Russian Hackers Scouring the World for U.S. Secrets
It was a case of spies watching spies watching spies: Israeli intelligence officers looked on in real time as Russian government hackers searched computers around the world for the code names of American intelligence programs.

What gave the Russian hacking, detected more than two years ago, such global reach was its improvised search tool — antivirus software made by a Russian company, Kaspersky Lab, that is used by 400 million people worldwide, including by officials at some two dozen American government agencies.

The Israeli officials who had hacked into Kaspersky’s own network alerted the United States to the broad Russian intrusion, which has not been previously reported, leading to a decision just last month to order Kaspersky software removed from government computers.

The Russian operation, described by multiple people who have been briefed on the matter, is known to have stolen classified documents from a National Security Agency employee who had improperly stored them on his home computer, on which Kaspersky’s antivirus software was installed. What additional American secrets the Russian hackers may have gleaned from multiple agencies, by turning the Kaspersky software into a sort of Google search for sensitive information, is not yet publicly known.

The current and former government officials who described the episode spoke about it on condition of anonymity because of classification rules.

Like most security software, Kaspersky Lab’s products require access to everything stored on a computer in order to scour it for viruses or other dangers. Its popular antivirus software scans for signatures of malicious software, or malware, then removes or neuters it before sending a report back to Kaspersky. That procedure, routine for such software, provided a perfect tool for Russian intelligence to exploit to survey the contents of computers and retrieve whatever they found of interest.

The National Security Agency and the White House declined to comment for this article. The Israeli Embassy declined to comment, and the Russian Embassy did not respond to requests for comment.

The Wall Street Journal reported last week that Russian hackers had stolen classified N.S.A. materials from a contractor using the Kaspersky software on his home computer. But the role of Israeli intelligence in uncovering that breach and the Russian hackers’ use of Kaspersky software in the broader search for American secrets have not previously been disclosed.

Kaspersky Lab denied any knowledge of, or involvement in, the Russian hacking. “Kaspersky Lab has never helped, nor will help, any government in the world with its cyberespionage efforts,” the company said in a statement Tuesday afternoon. Kaspersky Lab also said it “respectfully requests any relevant, verifiable information that would enable the company to begin an investigation at the earliest opportunity.”

The Kaspersky-related breach is only the latest bad news for the security of American intelligence secrets. It does not appear to be related to a devastating leak of N.S.A. hacking tools last year to a group, still unidentified, calling itself the Shadow Brokers, which has placed many of them online. Nor is it evidently connected to a parallel leak of hacking data from the C.I.A. to WikiLeaks, which has posted classified C.I.A. documents regularly under the name Vault7.

For years, there has been speculation that Kaspersky’s popular antivirus software might provide a backdoor for Russian intelligence. More than 60 percent, or $374 million, of the company’s $633 million in annual sales come from customers in the United States and Western Europe. Among them have been nearly two dozen American government agencies — including the State Department, the Department of Defense, Department of Energy, Justice Department, Treasury Department and the Army, Navy and Air Force.

The N.S.A. bans its analysts from using Kaspersky antivirus at the agency, in large part because the agency has exploited antivirus software for its own foreign hacking operations and knows the same technique is used by its adversaries.

“Antivirus is the ultimate backdoor,” Blake Darché, a former N.S.A. operator and co-founder of Area 1 Security. “It provides consistent, reliable and remote access that can be used for any purpose, from launching a destructive attack to conducting espionage on thousands or even millions of users.”

On Sept. 13, the Department of Homeland Security ordered all federal executive branch agencies to stop using Kaspersky products, giving agencies 90 days to remove the software. Acting Department of Homeland Security Secretary Elaine C. Duke cited the “information security risks” presented by Kaspersky and said the company’s antivirus and other software “provide broad access to files” and “can be exploited by malicious cyber actors to compromise” federal computer systems.

That directive, which some officials thought was long overdue, was based, in large part, on intelligence gleaned from Israel’s 2014 intrusion into Kaspersky’s corporate systems. It followed months of discussions among intelligence officials, which included a study of how Kaspersky’s software works and the company’s suspected ties with the Kremlin.

“The risk that the Russian government, whether acting on its own or in collaboration with Kaspersky,” D.H.S. said in its statement, “could capitalize on access provided by Kaspersky products to compromise federal information and information systems directly implicates U.S. national security.”

Kaspersky Lab did not discover the Israeli intrusion into its systems until mid-2015, when a Kaspersky engineer testing a new detection tool noticed unusual activity in the company’s network. The company investigated and detailed its findings in June 2015 in a public report.

The report did not name Israel as the intruder but noted that the breach bore striking similarities to a previous attack, known as “Duqu,” which researchers had attributed to the same nation states responsible for the infamous Stuxnet cyberweapon. Stuxnet was a joint American-Israeli operation that successfully infiltrated Iran’s Natanz nuclear facility, and used malicious code to destroy a fifth of Iran’s uranium centrifuges in 2010.

Kaspersky reported that its attackers had used the same algorithm and some of the same code as Duqu, but noted that in many ways it was even more sophisticated. So the company researchers named the new attack Duqu 2.0, noting that other victims of the attack were prime Israeli targets.

Among the targets Kaspersky uncovered were hotels and conference venues used for closed-door meetings by members of the United Nations Security Council to negotiate the terms of the Iran nuclear deal — negotiations from which Israel was excluded. Several targets were in the United States, which suggested that the operation was Israel’s alone, not a joint American-Israeli operation like Stuxnet.

Kaspersky’s researchers noted that attackers had managed to burrow deep into the company’s computers and evade detection for months. Investigators later discovered that the Israeli hackers had implanted multiple back doors into Kaspersky’s systems, employing sophisticated tools to steal passwords, take screenshots, and vacuum up emails and documents.

In its June 2015 report, Kaspersky noted that its attackers seemed primarily interested in the company’s work on nation-state attacks, particularly Kaspersky’s work on the “Equation Group” — its private industry term for the N.S.A. — and the “Regin” campaign, another industry term for a hacking unit inside the United Kingdom’s intelligence agency, the Government Communications Headquarters, or GCHQ.

Israeli intelligence officers informed the N.S.A. that in the course of their Kaspersky hack, they uncovered evidence that Russian government hackers were using Kaspersky’s access to aggressively scan for American government classified programs, and pulling any findings back to Russian intelligence systems. They provided their N.S.A. counterparts with solid evidence of the Kremlin campaign in the form of screenshots and other documentation, according to the people briefed on the events.

It is not clear whether, or to what degree, Eugene V. Kaspersky, the founder of Kaspersky Lab, and other company employees have been complicit in the hacking using their products. Technical experts say that at least in theory, Russian intelligence hackers could have exploited Kaspersky’s worldwide deployment of software and sensors without the company’s cooperation or knowledge. Another possibility is that Russian intelligence officers might have infiltrated the company without the knowledge of its executives.

But experts on Russia say that under President Vladimir V. Putin, a former K.G.B. officer, businesses asked for assistance by Russian spy agencies may feel they have no choice but to give it. To refuse might well invite hostile action from the government against the business or its leaders. Mr. Kaspersky, who attended an intelligence institute and served in Russia’s Ministry of Defense, would have few illusions about the cost of refusing a Kremlin request.

Steven L. Hall, a former chief of Russian operations at the C.I.A., said his former agency never used Kaspersky software, but other federal agencies did. By 2013, he said, Kaspersky officials were “trying to do damage control and convince the U.S. government that it was just another security company.”

He didn’t buy it, Mr. Hall said. “I had the gravest concerns about Kaspersky, and anyone who worked on Russia or in counterintelligence shared those concerns,” he said.
 
Израильские специалисты помогли обнаружить попытку взлома сети АНБ США с помощью "антивируса" Касперского.

11dc-kaspersky1-master768.jpg

https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108
"WASHINGTON—Hackers working for the Russian government stole details of how the U.S. penetrates foreign computer networks"
Дубинку украли!...:D
 
Израильские специалисты помогли обнаружить попытку взлома сети АНБ США с помощью "антивируса" Касперского.
В феврале 2015 Лаборатория Касперского опубликовала отчет "Equation: Звезда смерти Галактики Вредоносного ПО" об инструментах Equation Group (связанных с NSA) и Касперский горестно размахивал ручками в ЖЖ в стиле "а нас за что?", потому что в марте ему прилетела "ответка" в виде статьи в Bloomberg "Компания, которая защищает ваш Интернет тесно связана с русскими шпионами".

Недавно WSJ написал об утечке инструментария из АНБ (утечка в 2015 году, но стало известно значительно позже), и о том, что утечку связывают с использованием "антивируса" Касперского на служебном ноутбуке сотрудника агентства ("Russian Hackers Stole NSA Data on U.S. Cyber Defense"). А рвению АНБ в поиске источника добавила группа TSB (TheShadowBrokers, вир Notpetya например их этой среды).

В течении года TSB опубликовали в darknet'е целый ряд инструментария АНБ, слив продолжается и сейчас. Причем первая порция, август 2016, как раз состоит из файлов Equation Group. И произошло это вскоре после того, как русских заподозрили во вмешательство в выборы в США (взлом DNC и т.п.).

И на весь этот цирк, как оказалось, все это время с интересом смотрели из израильской разведки. И теперь благодаря израильтянам история уже идет к финалу. Раньше не видел более бездарного просёра и слива всех полимеров. Русские хакеры такие русские.
 
Горе-шпионы

Основатель «Лаборатория Касперского» Евгений Касперский заявил, что его компания случайно получила файлы, которые имели отношение к Агентству национальной безопасности США.

[URL='http://hosted.ap.org/dynamic/fronts/HOME?SITE=AP&SECTION=HOME']
[/URL]
Kaspersky: We uploaded US documents but quickly deleted them

PARIS (AP) -- Sometime in 2014, a group of analysts walked into the office of Eugene Kaspersky, the ebullient founder of Russian cybersecurity firm Kaspersky Lab, to deliver some sobering news. The analysts were in possession of a cache of files belonging to the Equation Group, an extraordinarily powerful band of hackers that would later be exposed as an arm of the U.S. National Security Agency. But the analysts were worried; the files were classified.

"They immediately came to my office," Kaspersky recalled, "and they told me that they have a problem."

According to him, there was no hesitation about what to do with the cache.

"It must be deleted," Kaspersky says he told them.
 
Как ФСБ притворились «хакерами» The Shadow Brokers, чтобы взломать и слить секретные разработки АНБ США. И почему из-за этого слива произошли эпидемии вымогателей WannaCry, NotPetya и BadRabbit.
Мифы и реальность об антивирусных программах
Вокруг антивирусных компаний (AV) зачастую вертится много мифов. Пользователи обвиняют их в двух смертных грехах: в том, что они сами пишут вирусы для собственного обогащения, и в том, что антивирус может использоваться для слежки. Мифы эти ложны, но очень живучи и производителям AV не удается избавиться от таких теорий заговора десятилетиями. Подозрительность возникает из-за того, что использование антивирусных программ основано на доверии.

«Лаборатория Касперского» крепилась 25 лет, но однажды все же не удержалась. И запомнят этот антивирус теперь не как защитника, а как в анекдоте про строителя, козу и человеческую благодарность.

Мифы о хакерах
О хакерах мифов не меньше. В массовой культуре хакинг воспринимается как «суперсила». Как говорил Артур Кларк: «Достаточно развитая технология неотличима от магии». Персонаж в маске Гая Фокса якобы нажимает несколько кнопок и вытаскивает пароли «из под звездочек», переводит миллион долларов или переключает туннель на встречное движение, сея панику и разрушения. Так не бывает. Точнее, бывает, но не совсем так.

Большинство хакеров работает в какой-то одной области и берут количеством, стабильностью и простотой технологий, а не эзотерическим компьютерным вуду. В основе лежат простые экономические и статистические закономерности. Лучше тысячу раз по рублю, чем один раз тысячу. Шансы несоразмеримы. Поэтому стоимость целевой атаки начинается от нескольких тысяч долларов. На разработку хакерских инструментов требуется время (оно же деньги), которое можно потратить на что-то более полезное, чем попытки пробить головой стену.

Я это говорю, чтобы подчеркнуть, что есть узнаваемые шаблоны поведения, отличающие хакеров от тех, кто пытается ими притворяться. И всегда есть соблазн списать собственные ошибки или запутать следы, свалив всё на хакерскую атаку («Ай воз хакд», «Вирус ‘съел’ файл с проектом бюджета», The Shadow Brokers). Мало кто понимает, как работают хакеры, и оправдания выглядят вполне достоверно. А вот спецслужбам нужна вполне конкретная информация, они не ограничены ни временем, ни деньгами, ни какими-либо этическими соображениями. Национальная безопасность и точка.

История с утечкой из NSA (Агентство Национальной Безопасности США) длилась годами. В феврале 2015 года «Лаборатория Касперского» опубликовала отчет о Equation Group (кодовое название придуманное Касперским для подразделения АНБ, якобы проводящего кибер-разведку). В марте того же года Агентство только оправилось после утечки Сноудена и достаточно прямо намекнуло российским безопасникам, что они влезли не на ту полянку. Bloomberg опубликовало статью «Компания, которая защищает ваш Интернет, имеет тесные связи с русскими шпионами». Основатель компании Евгений Касперский сделал вид, что намёков не понимает.

Сам факт сотрудничества Касперского со спецслужбами России, естественно, ни для кого не секрет. Бизнес Касперского начался с того, что его поддержал бывший преподаватель из ВШ КГБ Решетников, и сотрудники компании не только не скрывают сотрудничество со спецслужбами, но и гордятся им:

В кабинет периодически заходит милиция. Когда я подошел к столу, около него уже сидели двое. «Поговорим через пять минут», — попросил их Шевченко и пригласил меня присесть. «Это отдел «К». Пришли за очередным отчетом, — сказал он, когда люди притворили за собой дверь. — У нас и ФСБ регулярно бывает…». Шевченко даже не поморщился, упоминая эти буквы. (Новая Газета «Гостев из будущего», сентябрь 2005)

Почему АНБ взялось за Касперского только в 2017
«Почему АНБ запретили использовать софт Касперкого только в 2017 году, а не раньше? Он же шпион КГБ?!», — спросит читатель. Дело в том, что тогда речь шла только об образцах вредоносного ПО. Образец (или на профессиональном сленге сэмпл, тело) — только фрагмент большой программы. Тот самый вирус, который и должны ловить антивирусы. В настоящее время вирусов появляется так много, что ни один человек, ни одна компания не справится с их анализом. Большую часть вирусов ловит автоматика, а в антивирус встроены десятки тысяч нечетких правил, и когда файл кажется слишком подозрительным, антивирус отправляет его в родную компанию для анализа. Так устроено большинство антивирусов.

Спецслужбы разных стран мира неоднократно ловили за руку из-за написания вирусов и антивирусы их также ловят. Если бы речь шла только о семплах, то американские спецслужбы промолчали бы и даже не стали бы грозить Касперскому пальцем свободной прессы. У них уже были подозрения, что в этот раз всё пошло совсем не так, как обычно. После того, как летом 2016 был взломан DNC (демократическая партия США), россиян обвинили во взломе. И тут же, в августе, появляется никому неизвестная хакерская группа The Shadow Brokers и заявляет, что они взломали Equation Group. И начали выкладывать не просто аналитику или семплы, а полные комплекты хакерского софта вместе с документацией. Деньги, как и в случае с NotPetya, никого на самом деле не интересовали.

Хакеры или спецслужбы (поведенческий анализ без знака равенства)
Серьезная ошибка. Если бы это были хакеры, то они бы заявили, что взломали NSA или группу оперативного доступа АНБ (TAO — Office of Tailored Access Operations), но наверняка они не стали бы называть группу условным именем, которое (внимание) им дал Касперский. Не говоря уже о том, что хакеры просто так не слили бы в открытый доступ инструменты стоимостью в несколько миллионов долларов (!). Странно, взломать компьютер и не понять, кому именно он принадлежит. АНБ иногда называет себя в шутку No Such Agency («Нет Такого Агентства»), но уж никак не кличкой «Equation Group», которую придумал какой-то россиянин.

Люди которые стоят за The Shadow Brokers либо не смогли оценить относительную важность опубликованных инструментов, либо, наоборот, понимали, что такие уязвимости, как Eternal Blue и Eternal Romance, будут немедленно использованы черными хакерами. Или теми, кто решит притвориться черными хакерами. И это отвлечёт внимание общественности от Трамп-гейта, российских хакеров и шпионских операций. Так и произошло, «вымогатели» WannaCry, NotPetya и BadRabbit используют слитые The Shadow Brokers разработки АНБ.

Однако, «хакерский скандал» не утихал, The Shadow Brokers продолжали сливать разработки АНБ. И агентству это окончательно надоело. Весной 2017 года начинается обсуждение запрета на использование Антивируса Касперского в государственном секторе США, и после того, как запрет был принят, от продаж русского антивируса отказались крупные американские ритейлеры. Почему так поздно? Россияне и американцы не единственные участники кибервойны, в том же 2015 году в кибервойну вступили спецслужбы Израиля (кодовое имя «Duqu»).

Израильская разведка взломала Лабораторию Касперского и несколько других крупных технологических компаний. Взлом был обнаружен в июне 2015 («Kaspersky Lab investigates hacker attack on its own network» — лаборатория Касперского расследует хакерскую атаку на собственную корпоративную сеть). А Израиль вмешался неспроста. Касперский не в первый раз вставляет палки в колёса разведке (Stuxnet). Поэтому привлёк к себе внимание самых сильных игроков. Узел завязался плотно. У Касперского на шее.

Что же произошло? Моя версия
Касперскому стало тесно на рынке антивирусов. Добавлять в базу 100500 тысячный (и это как раз не преувеличение) банковский троян очень скучно. И Лаборатория Касперского полезла в шпионские игры. Из каталога ANT NSA (Сноуден. Декабрь 2013 (!)) они узнали кодовые название секретных программ АНБ. Такие как COTTONMOUTH («хлопковый рот»). Дальше можно поискать это слово среди накопленных подозрительных файлов (их у Касперского десятки, если не сотни миллионов). Можно добавить специальную процедуру в антивирусную базу.

В современных антивирусах базы состоят не только из шаблонов для поиска, но и из кода. И когда Касперский предлагает американцам проверить код своего антивируса на наличие «закладок» — это обыкновенное лукавство. В антивирусной базе тысячи подпрограмм, проверить их все нет никакой возможности и они могут измениться после первого же обновления. Код может выглядеть так: любой файл, в котором есть слово из 11 букв, которые в сумме дают 164 (A=1, B=2,…) нужно отправить в «центр» для дополнительного анализа. Таким образом файл содержащий строку «COTTONMOUTH» будет отправлен в KSN («Kaspersky Security Network» — хранилище подозрительных файлов). Алгоритм может использоваться чуть более сложный, чем простое сложение и никакой анализ кода не позволит доказать, что Касперский искал секретную американскую разработку, а не какой-нибудь доисторический вирус времён MS-DOS.

Когда американцы поняли, что Касперкий изучает их вирусы не случайно, а целенаправленно, тогда-то они и послали предупреждение через Bloomberg. Из-за случайного единичного провала никто не стал бы заморачиваться, чтобы не нарушить режим секретности. Но израильтяне, которые взломали Лабораторию, по всей видимости нашли там не отдельные тушки вирусов, а в том числе и документы, и вспомогательный не вредоносный код. Касперский вычислил не только вирусы, но и компьютеры, где их писали и тестировали. Что на этих компьютерах делал антивирус Касперского — отдельный разговор. Евгений Касперский не удержался и нарушил первую заповедь антивирусных компаний — не использовать собственный продукт для взлома, и выгреб содержимое компьютеров подчистую. А потом вероятно занялся шантажом: «Либо вы прекращаете обвинять российских хакеров, либо The Shadow Brokers сольют информацию о том, как вы взламываете других». Возможно, что в начале Касперский передал информацию ФСБ, а те в свою очередь, не смогли воспользоваться украденным софтом и использовали его для политического давления.

J’accuse! Я абсолютно уверен в том, что Лаборатория Касперского и группа «хакеров» The Shadow Brokers — одно и тоже. Независимо от того, стоит ли за Касперским ФСБ, или он сделал всё самостоятельно. Побочное ответвление от этой истории — «Киберберкут» и взлом ЦВК в мае 2014. «Киберберкут» — low tech группа, через которую идут в основном сливы. Но после взлома они заявили, что использовали эксплоит нулевого дня в Cisco. Могли написать всё, что угодно, могли промолчать, но написали именно так. Тогда им никто не поверил. Но эксплоиты нулевого дня для Cisco принадлежат АНБ, и они были опубликованы The Shadow Brokers в первом же дампе «Equation Group».

Часть выводов пока умозрительна, но в целом всё выглядит именно так, как я и предполагал. Теперь у нас есть все составные части головоломки — Администрация Президента РФ, которая задает общий политический курс, разномастные черные хакеры, которых используют от случая к случаю и которые могут быть как настоящими хакерами, так и легендой прикрытия, и Федеральная Служба Безопасности, которая плотно сотрудничает с производителями ПО и фирмами, которые занимаются информационной безопасностью.

И тут не глупый, на первый взгляд, человек совершает практически фатальную ошибку. Евгений Касперский в интервью Associated Press подтвердил факт, что у него были не только тушки вирусов (они могли попасть к нему естественным образом), но и дополнительный софт и секретные документы, которые можно было получить только путём взлома:

Касперский утверждает, что файлы оказались у специалистов компании во время сбора информации о хакерской группировке Equation Group, которая якобы сотрудничала с АНБ. По словам бизнесмена, узнав о неожиданной находке, он потребовал немедленно удалить эти данные. (««Лаборатория Касперского» случайно скачала секретные документы АНБ»)

Не важно даже, «удалил» он их или нет. На самом деле — нет. Самое важное, что Касперский признал, что действительно условно «распял мальчика в одних трусиках», то есть использовал антивирус для взлома и шпионажа. И, как минимум, спровоцировал (если не организовал) вирусную пандемию. Открыл ящик Пандоры, в котором на дне никакой надежды нет в принципе!

Если договоренность один раз нарушена (как это было с Будапештским меморандумом), то система коллективной безопасности больше не работает. И мы имеем дело не с привычным поединком шпионов, а участвуем в мировой кибер-войне. Как и в случае с российско-украинской войной, россияне даже не поняли, что переступили невидимую, но очень важную границу. И теперь могут махать руками и причитать «А нас за что?», «Почему им можно, а нам нельзя?» Они действительно не понимают, но это ничего не меняет, потому что из-за их безумных действий уже необратимо изменился весь мир.
 
http://www.tomshardware.com/news/google-removing-minix-management-engine-intel,35876.html

И вот тут начинается, дорогая редакция, уже игра по взрослому... диверсии, шпионаж, уничтожение компов на новом уровне, это вам не операционку переустановить на поражённой машине
Да, блин. :D
Чужой Web-сервер в вашем южном мосту.
Я тоже хотел этой новостью поделиться, только не знал, куда воткнуть...
Автор MINIX открытое письмо Intel написал по этому поводу: http://www.cs.vu.nl/~ast/intel/
 
Да, блин. :D
Чужой Web-сервер в вашем южном мосту.
Я тоже хотел этой новостью поделиться, только не знал, куда воткнуть...
Автор MINIX открытое письмо Intel написал по этому поводу: http://www.cs.vu.nl/~ast/intel/
я немного в ахуе, пардон май френч, от открывающихся возможностей
 
Сегодня ВикиЛикс опубликовала исходники важного компонента ЦРУшной кибердиверсионной инфраструктуры.
Today, 9 November 2017, WikiLeaks publishes the source code and development logs to Hive, a major component of the CIA infrastructure to control its malware.
https://wikileaks.org/vault8/
 
Биткойны майнить можно...:D
Оказывается, есть чистилка уже: https://github.com/corna/me_cleaner
есть у меня сомнения что чистилка может почистить что либо на одном из мостов, а если и может, меня мучают смутные сомнения что борд как целое будет после этого работать
 
есть у меня сомнения что чистилка может почистить что либо на одном из мостов, а если и может, меня мучают смутные сомнения что борд как целое будет после этого работать
Хз, пишут, что только лишнее убирают.
Но я всё равно проверять не буду. :D
 
Незамысловаты российская оптимизация расходов. Испаноговорящих в Москве и Питере нанимать дорого (в Воронеде дешево, но там знающих испанский нет, там даже с русскоговорящими, имеющими словарный запас выше 300 слов, напряг). Поэтому для выполнения распоряжения "поработать по Испании" строим ботоферму в Венесуеле. Чекисты помогают братскому народу.

1510341089_316043_1510348107_noticia_normal_recorte1.jpg

Russian network used Venezuelan accounts to deepen Catalan crisis
An analysis of five million messages reveals that RT and Sputnik used social networks to spread a negative image of Spain

Madrid 11 NOV 2017 - 11:50 CET
Two media outlets linked to the Kremlin, RT and Sputnik, made use of a large number of accounts on social networks related to Venezuela and chavismo in order to propagate a negative image of Spain in the days running up to and after the October 1 referendum on independence in Catalonia. That’s according to a detailed analysis of more than five million messages carried out by George Washington University in the United States. The report warns of the “serious crisis of political and economic reputation in Spain and the EU.”


The principal conclusion of the study is that traditional political leaders and institutions have lost their ability to influence public opinion. In their place now are a variety of actors, who are a lot more difficult to follow and monitor, given that they do not subscribe to the political and media environment of just one country. In the case of the Catalan secessionist drive, the narrative of the pro-Constitution parties in government and the opposition was limited by a complex network of messages originating in pro-Russian media and amplified in part by chavist forces in Venezuela.

To carry out the study, researchers used an advanced software program that makes use of Spanish technology to measure and analyze big data. Its author, Javier Lesaca, is a visiting scholar at the School of Media and Public Affairs at George Washington University. He has analyzed a total of 5,029,877 messages on Twitter, Facebook and other social networks that used the terms Cataluña, Catalunya and Catalonia between September 29 and October 5.

“The most surprising thing about the investigation has been the discovery of an entire army of zombie accounts that are perfectly coordinated and that are dedicated to sharing content generated by RT and Sputnik in diverse digital conversations, which go from Syria and the United States to Catalonia,” Lesaca explains. “There is evidence to suggest that the pattern of digital disruption that has been detected in digital debates about the elections in the United States or Brexit has also been seen in Catalonia, and that the authors of this disruption are the very same.”

1510341089_316043_1510347723_sumario_normal.png

MOST ACTIVE ACCOUNTS SPREADING CONTENT FROM ‘RUSSIA TODAY’ AND ‘SPUTNIK’ Most likely origin Chavista accounts or from Venezuela 32% Anonymous accounts with real coverage that are dedicated solely to spreading content from ‘RT’ and ‘Sputnik 30% Real profiles 3% Official profiles from ‘RT’ and ‘Sputnik’ 10% Other fake accounts 25% Source: Javier Lesaca (George Washington University). EL PAÍS

After the weekly Cabinet meeting, two ministers recognized on Friday that the Spanish government has corroborated information that during the Catalan crisis disruptive messages were sent from “Russian territory” and added that they had also come from “other locations,” Anabel Díez reports. Government sources later confirmed that these “other locations” referred to Venezuela.

One clear example is the fact that RT published a number of news stories about Catalonia, which were then shared via social networks, prompting a conversation with messages and replies in which one of the most-used terms was #VenezuelaSalutesCatalonia, above mentions of NATO, the EU and Julian Assange, the founder of whistle-blowing website WikiLeaks. With respect to Sputnik, the second most-shared news story was: “Maduro: Rajoy must answer to the world for what he has done in Catalonia.”

Half of the news stories shared by RT in the days immediately prior and after the October 1 referendum in Catalonia were about the police violence during the day, with headlines such as: “Powerful videos: the brutal police repression against voters in the Catalan referendum,” and “Catalonia chooses its destiny between batons and rubber bullets.”

The analysis of the messages on social networks about the Catalan crisis reveals that the two Russian media outlets, both financed by the Kremlin, managed to see their links shared more than those from Spanish public networks EFE and RTVE, or those of private international publications such as The Guardian and CNN. As the report concludes, “the Russian media conglomerates RT and Sputnik have participated in a deliberate disruption strategy in the global digital conversation about Catalonia.”

The platform that they used to propagate and viralize these messages is significant: according to analysis by Lesaca, the majority, 32%, were from chavista accounts or from Venezuela, followed by fake or automated accounts (25%), anonymous accounts that are used just to spread content from RT and Sputnik (30%) and official channels from these two media outlets (10%). Just 3% of the conversation came from real profiles outside of these interest groups. One of the most active accounts was @MarinoEscalante on Twitter, which shared links from RT with messages such as “Rajoy and the Francoist King of #Spain see the mote in the eye of Maduro, but not in #Catalonia.”

1510341089_316043_1510347707_sumario_normal.png

MOST-SHARED LINKS Source: Javier Lesaca (George Washington University). EL PAÍS

This source is confirmed by the analysis of the accounts that, when they publish messages on Twitter, Facebook and other social networks, make their geolocation public. Venezuela is the most-common location after Spain. Of those that shared RT content about the Catalan crisis, 13.18% are in Venezuela. In the case of Sputnik, they account for 10.46%.

As the report states, the majority of anonymous digital profiles analyzed are “associated with accounts or nodes that originate in Venezuela and that clearly show their sympathy toward the regime of Nicolás Maduro, the United Socialist Party of Venezuela or its [deceased] leader Hugo Chávez.” The study adds that in “some cases, these accounts were detected to be publishing the same content at the same time, reinforcing the hypothesis of the use of robots.”

The use of these bots is crucial in this kind of disruption strategy: invented news stories are created, as well as article with a partisan or manipulated angle. Then they are published on a forum, before being spread via social networks and a genuine legion of fake accounts start to share them automatically, triggering digital algorithms to put them in a prominent position.

According to Lesaca, “democratic systems have the obligation to investigate this evidence and implement systematic methods of monitoring and response in the face of presumed disruptions by foreign agents. Wars and international conflicts are already being fought among public opinion.”

A network with Venezuela in the center
The huge framework of accounts on social networks controlled by Russia and chavista forces managed to achieve that a determined interpretation of the Catalan crisis dominated the global conversation on forums such as Twitter. This is shown by the graphic at the top of this story, which visually identifies the most active accounts and the connections between them.

These stories, which habitually described the supposed police brutality on October 1, and on occasion played down the importance of the fact that the referendum had been declared illegal by the Spanish justice system, were shared with greater intensity – the red points – by chavista accounts, which occupied a central role in the social conversation on the crisis in Catalonia.

The videos that were most shared on these networks, for example, were those that showed police charges during the referendum, with alarmist messages and that on occasion were accompanied by opinions that referred to a supposed lack of democracy in the Spanish state in this crisis.

That’s to say, there was a conscious and coordinated effort on the part of these accounts in the Venezuelan orbit to amplify as much as possible information from Russian state media outlets RT and Sputnik, something that activists within the Russian orbit, such as Edward Snowden, also did.

The study points to the clear conclusion of this strategy: “The narrative that the pro-independence groups generated, which was opposed to the Spanish government, dominated the conversation in a hegemonic way in English, Spanish and Catalan.”
 
Расследования
Удивительные малвари и где они обитают
Этой осенью продукты "Лаборатории Касперского" – крупнейшего в мире производителя антивирусного программного обеспечения, красы и гордости российской IT-индустрии – попали под запрет в государственных агентствах США. Вслед за этим Касперский может потерять значительную часть своего американского и западноевропейского рынка, который приносит компании более 60 процентов продаж. "Лаборатория Касперского" стала токсичной, и не только потому, что отношения между Россией и США переживают сложные времена, а русские хакеры стали одной из главных страшилок на Западе. Российская компания уже больше 7 лет старательно собирает информацию о кибероружии США, Израиля и Великобритании, публикует аналитические отчеты о нем и предлагает способы защиты. И это давно и многих раздражало.

"Лаборатория Касперского" получила – преднамеренно или нет – исходный код вирусов, созданных Агентством национальной безопасности США, и, как считают некоторые эксперты, поучаствовала в сливе, который нанес больший ущерб репутации американской разведки и национальной безопасности США, чем Эдвард Сноуден. Работает ли Касперский на ФСБ или слишком далеко зашел в своем идеализме? Помог ли он создателям вирусов-вымогателей WannaCry или все-таки стер случайно попавшие в его руки секретные документы? Разбираемся с историей первой мировой кибервойны, длящейся уже десять лет, в материале, разделенном на две части.

От бани до бана

В середине марта 2015 года один популярный российский тревел-блогер прилетел на Хайнань – тропический остров на юге Китая, на пляжах которого состоятельный путешественник регулярно с конца 2000-х устраивал себе короткие передышки от бесконечных перелетов и рабочих встреч. Вот уже несколько дней подряд блогер публиковал фотоотчеты о посещении национальных парков штата Юта в США, но 19 марта вместо однообразных красных скал из песчаника в очередном посте оказался скриншот статьи из издания Bloomberg Businessweek с фотографией самого автора: уперев руки в бока, он из-под густых кустистых бровей уверенно смотрит в объектив. "Компания, которой вы доверяете безопасность вашего интернета, имеет тесные связи с русскими шпионами", – предостерегает заголовок над его головой. Блогера звали Евгений Касперский, в заметке шла речь о его детище – "Лаборатории Касперского", входящей на тот момент в топ-10 антивирусных компаний мира. Кстати, блог Касперского, заполненный в основном фотографиями из путешествий, сейчас занимает в ЖЖ 346-е место по популярности.

"Я немного был в озлоблении, потом в удивлении, потом в непонятках.. Короче, эмоции танцевали джанго-джанго и пели при этом рэп. – ... а ведь на море, под пальмами, и под мягким мартовским солнышком, пробежавшись рано утром по пляжу, приятно позавтракав настоящей китайчатиной – ай! – ах как хотелось бы продолжить.... чтобы немного отпустить мозг, расслабить тело, и еще денёк полежать.. А хрен тебе, дорогой господин хороший. На тебе порцию говна!" – иронизировал писавший это из номера курортного отеля Marriott Касперский. Он посчитал, что раскопанные Bloomberg доказательства связей ЛК и российских спецслужб неубедительны. Со ссылкой на анонимные источники авторы статьи сообщили, что Евгений Касперский, выпускник Высшей школы КГБ, еженедельно посещает баню в компании с сотрудниками российских спецслужб, что после несостоявшегося в 2012 году партнерства по IPO с американской инвестиционной фирмой General Atlantic связи ЛК с ФСБ стали более тесными и в компании ввели мораторий на наем иностранных топ-менеджеров. Наконец, что замглавы компании по юридическим вопросам Игорь Чекунов – лиазон "Лаборатории Касперского" с российскими силовиками и руководит в компании специальным отделом, оказывающим техническую поддержку ФСБ.

"Серьёзное новостное агентство Блумберг искало связь с "русскими шпионами" – и нашло только... баню. Ура!" – писал Касперский из китайских тропиков. Пожалуй, у него действительно был повод для радости, ведь в материале Bloomberg не было ничего о двух событиях, которые к этому моменту уже произошли, но в прессу попали только через два с половиной года. В 2014 году в распоряжение Касперского попали секретные файлы Агентства национальной безопасности США, а внутреннюю сеть компании взломали израильские спецслужбы.

A967FC55-6989-4232-A8E5-AA3941192027_w650_r1_s.jpg

Евгений Касперский
Но Bloomberg написал не про это, а про баню, и заметка не стала серьезным ударом по заокеанскому бизнесу ЛК: созданные компанией программные продукты использовались почти в 20 государственных агентствах США, включая Госдепартамент, министерство обороны, министерство юстиции, армию, флот и военно-воздушные силы. СШA и страны Западной Европы приносили Касперскому более 60 процентов мировых продаж. Все изменилось в конце весны 2017 года, когда сочетание слов "Россия" и "кибербезопасность" стало устойчиво ассоциироваться с предполагаемым вмешательством российских хакеров в ход президентских выборов в США.

11 мая 2017 года в сенатском комитете по разведывательной деятельности прошли слушания, в которых приняли участие руководители ФБР, ЦРУ, АНБ и других силовых агентств США. Речь шла о русских хакерах (на вопрос, вмешался ли Кремль в предвыборную гонку в США с помощью компьютерных взломов, прозвучал единогласный ответ "да"), но на 42-й минуте слушаний сенатор-республиканец из Флориды Марк Рубио поинтересовался, доверяют ли топы разведывательных органов продуктам ЛК. Все шестеро ответили "нет". Вопрос Рубио прозвучал довольно неожиданно; возможно, он задал его с подачи кого-то из приглашенных на слушания силовиков. Так или иначе, именно с этого момента у российской компании на рынке США начались серьезные проблемы.

В тот же день, 11 мая, сам Евгений Касперский, отвечая на вопросы читателей популярного ресурса Rеddit, заявил, что обмен репликами на слушаниях вызван политическими причинами, которые "лишают этих джентльменов возможности воспользоваться лучшей системой безопасности на рынке без всяких реальных причин или проступков с нашей стороны". Касперский заметил, что готов лично дать показания в американском Сенате (забегая вперед: участие российского предпринимателя в сенатских слушаниях до сих пор так и не состоялось, но все еще обсуждается).

После майских слушаний можно было предположить, что ЛК стала чуть ли не случайной жертвой настороженности американских чиновников и СМИ по отношению ко всему киберроссийскому. Сам Евгений Касперский намекал на это регулярно – в постах своего блога, несколько раз прорвавшихся сквозь лавины фотоисторий из экзотических стран, он упоминает и "маккартизм", и "геополитическую турбулентность, от которой страдает бизнес. И причины переживать у него были: поздно вечером 28 июня в личные дома нескольких сотрудников американского офиса ЛК пришли агенты ФБР, которые настойчиво интересовались деталями функционирования компании в США. 5 июля в Сенате предложили не включать закупку продуктов ЛК в оборонный бюджет на следующий год. 11 июля агентство Bloomberg (тот же автор, который запустил в 2015 году "банягейт") опубликовало новое расследование – из попавшей в руки журналистов внутренней переписки следовало, что ЛК участвует в разработке анти-DDoS-систем по заказу ФСБ, а сотрудники участвуют в рейдах силовиков (Касперский подтвердил подлинность переписки, но отверг интерпретацию, сделанную журналистами).

Уже 12 июля General Services Administration, агентство, в частности, отвечающее за госзакупки, исключило ЛК из списка авторизованных поставщиков для американских госорганов. В начале осени продукты ЛК исчезают с полок крупнейшего американского ретейлера Best Buy. Наконец, 13 сентября Департамент внутренней безопасности выпускает директиву, требующую от всех федеральных агентств США прекратить использование ПО Касперского в течение 90 дней.




Мобильное приложение Радио Свобода.


Подпишитесь!

Еще не поздно


Мотивация этого бана – "озабоченность связями некоторых представителей Касперского и российских разведслужб и требования российского закона, которые позволяют российским властям принуждать ЛК к сотрудничеству и получать доступ к данным в российских сетях". Это недвусмысленная отсылка к опубликованному летом расследованию Bloomberg – более убедительному по сравнению с "банягейтом" 2015 года. На этот раз в руки журналистов Джордана Робинсона и Марка Райли попала внутренняя переписка сотрудников ЛК. В письмах 2009 года идет речь о работе над системой, способной защитить клиентов, в том числе правительственные структуры, от DDoS-атак, но в проекте есть и "секретная часть" – поиск источников атаки с помощью хостинговых компаний и разработка "активных ответных мер". Источник издания заявил, что эти меры – не только ответная атака на хакеров, но и физическое участие специалистов ЛК в рейдах ФСБ. В одном из писем сам Евгений Касперский отмечает, что проект разрабатывается по "большой просьбе со стороны Лубянки". В компании подтвердили подлинность переписки (но не факт участия специалистов в рейдах ФСБ), и на этом основании издание сделало вывод, что "ЛК поддерживает намного более близкие рабочие отношения с ФСБ, чем признает публично".

76943927-A148-444E-BEB3-F911BE89B30D_w650_r0_s.jpg

Лобби ЦРУ
Итак, всего за четыре месяца, прошедшие после как бы случайного вопроса Марка Рубио о доверии ЛК на сенатских слушаниях, компания де-факто лишилась доступа на рынок госструктур США. Примеру федеральных агентств могут последовать, отказавшись от российского антивируса, их многочисленные подрядчики, а вслед за ними другой американский и западноевропейский бизнес и частные лица. И все это – из-за походов в баню с сотрудниками ФСБ и работы над системой, защищающей от хакерских атак? Представители Департамента внутренней безопасности США признались, что принимали решение о бане – запрете – продуктов Касперского "по большей части на основе публичной информации". Выходит, Касперский прав, и его американский бизнес страдает от "маккартизма", протекционизма и общей атмосферы недоверия к России, особенно в информационной сфере?

Сожжено перед прочтением

В октябре 2017 года наконец появилось более убедительное объяснение недоверия к Касперскому американской разведки. C 5 по 11 октября в изданиях Wall Street Journal и New York Times вышла серия публикаций, в которых утверждается, что продукт ЛК, установленный на компьютере у неназванного подрядчика Агентства национальной безопасности США, скачал на сервер "Лаборатории Касперского" секретные файлы АНБ. Бывшие американские разведчики рассказали журналистам, что израильские спецслужбы, взломавшие внутреннюю сеть "Лаборатории Касперского" еще в начале 2014 года, сообщили США, что антивирус Касперского используется для загрузки секретной информации, причем якобы поиск интересных файлов программа осуществляла по ключевым словам вроде top secret. Разведчики даже специально расставили несколько своеобразных приманок, разместив на компьютерах с установленным российским антивирусом файлы, похожие на секретные, и антивирус, по их словам, на эти приманки "клюнул". Собеседники журналистов назвали случившееся актом шпионажа против США и предположили, что секретные материалы были украдены "Лабораторией Касперского" по прямому заданию или во всяком случае в интересах российских спецслужб. Именно эта информация, которой американская разведка располагала как минимум с 2015 года, была поводом ответить "нет" на вопрос сенатора Рубио о доверии "Лаборатории Касперского", заданный на сенатских слушаниях весной 2017 года.

У Евгения Касперского есть своя версия развития событий. Однажды поздней осенью 2014 года к нему в кабинет пришел вирусный аналитик. В сеть компании, предназначенную для сбора и анализа потенциально вредоносного программного обеспечения, были загружены файлы, классифицированные системой, как вредоносные и связанные с деятельностью хакерской группировки Equation Group. Один из файлов оказался 7zip-архивом, а внутри него аналитик обнаружил исходные коды вредоносных программ (или, на жаргоне специалистов в компьютерной безопасности, "малварей" – от английского malware) и четыре текстовых документа в формате Word. По заголовкам сотрудник лаборатории понял, что файлы имеют гриф секретности, и сообщил об этом генеральному директору.

Евгений Касперский говорит, что для него сразу стало очевидно, что файлы связаны с АНБ – Агентством национальной безопасности США. Уже несколько месяцев ЛК старательно разыскивала и анализировала вредоносное ПО конкретного типа и, как предполагали специалисты, конкретного авторства. В начале 2015 года Касперский собирался рассказать всему миру о результатах этой работы – об обнаружении "самого продвинутого вредоносного актора, который когда либо-встречался ЛК". Для него внутри компании уже придумали броское название – Equation Group. Пожалуй, вместо этого подошло бы и другое название – "Те-кого-нельзя-называть". "Знали ли они, что Equation – это спецслужбы? Да, все эксперты это понимали", – говорит специалист по компьютерной безопасности Андрей Споров. Все указывало на то, что в действительности специалисты Касперского обнаружили не хакерскую преступную группировку, а следы деятельности киберподразделения американской разведки.

3EEC52D3-4B28-4A9B-97BA-189E4AD8D1AB_w650_r0_s.jpg

Логотип АНБ США
"Мы не занимаемся атрибуцией и не знаем, какая именно организация разработала этот зловред, – объясняет Евгений Касперский. – Но учитывая, что мы анализировали эту малварь уже много месяцев, мы знали ее чрезвычайную сложность и полное отсутствие финансовой мотивации у авторов. Кто может разрабатывать сложнейшее вредоносное ПО, при этом без цели заработать денег? Мы были уверены, что за ее разработкой стоят не просто киберпреступники. И поэтому, увидев слова "конфиденциально", я поверил, что это действительно так".

Итак, секретные файлы действительно оказывались в "Лаборатории Касперского" (правда, в 2014-м, а не в 2015 году, как утверждается в материалах WSJ). И израильские спецслужбы могли об этом знать, потому что они в самом деле взломали внутреннюю сеть компании. Об этой атаке сама "Лаборатория Касперского" официально сообщила еще в июне 2015 года. Заражение началось с компьютера сотрудника одного из небольших офисов "Лаборатории" в Тихоокеанско-Азиатском регионе и произошло, вероятнее всего, через фишинговое письмо. Компания сразу классифицировала атаку как "государственную": "Когда сложное вредоносное ПО пытается атаковать компанию или любую организацию не для кражи денег, то значит, у преступников иная мотивация, то есть шпионаж. Дорогостоящие операции чаще спонсируются кем-то, кто заинтересован в доступе к конфиденциальной информации, а именно государством", – объясняет Евгений Касперский. Помимо "Лаборатории Касперского" жертвами атаки (специалисты прозвали ее Duqu2.0 за схожесть с вирусом Duqu, о котором будет рассказано позже) стали несколько отелей и конференц-залов в Швейцарии, Австрии и Омане, в которых в 2014 году проходили переговоры международной группы "5+1" по иранской ядерной программе. Это, как и многие другие обстоятельства, указывало на то, что государство, стоящее за атакой – то, которое на эти переговоры не пригласили, – Израиль.

"У инициаторов Duqu 2.0, предположительно, была возможность отслеживать наши действия, в том числе наблюдать загрузку этого [содержащего секретные файлы АНБ] архива", – признает Евгений Касперский. Вскоре после того, как "Лаборатория Касперского" обнародовала свои данные об Equation Group, антивирусная система обнаружила несколько компьютеров, зараженных вредоносным ПО от этой группы, причем их IP были в том же диапазоне, что и у машины, с которой был загружен секретный архив. "Уже задним числом мы понимаем, что это, скорее всего, были приманки. В тот момент мы просто подумали, что детектировали новый сэмпл зловреда", – говорит Касперский. Таким образом, и факт "ловли на живца", о котором рассказали источники WSJ и NYT, подтверждается.

Итак, секретный архив загружен был, атака на ЛК израильскими спецслужбами тоже была – с этим согласен сам Евгений Касперский. Расхождения начинаются дальше: во-первых, как именно секретные файлы АНБ были загружены в сеть Kaspersky Security Network – случайно или преднамеренно? А во-вторых, что произошло с секретными документами, после того как они оказались в распоряжении ЛК?

Версия Касперского такова. Прямая задача антивируса – искать малвари. И если так получилось, что у кого-то на компьютере нашлись вирусы не потому, что он был ими заражен, а потому что владелец их разрабатывал, можно ли винить в этом антивирус?

В "предварительном отчете", опубликованном ЛК 25 октября (и в его окончательном варианте, который компания обнародовала 16 ноября) в ответ на статьи в WSJ и NYT, утверждается, что секретные файлы были загружены в сеть ЛК в период с 11 сентября по 17 ноября 2014 года в ходе нормативной работы домашнего антивируса, установленного на компьютер на территории США. В настройках такого антивируса можно включить функцию, которая автоматически сканирует память компьютера и загружает в облачное хранилище Kaspersky Security Network образцы потенциально вредоносных программ для дальнейшего анализа. И у американского пользователя эта функция была активирована, то есть пользователь сам предоставил российской компании достаточно широкий доступ к своим данным. Антивирус отправил в свою сеть содержащий малвари архив, а кроме бинарных файлов в нем оказались исходные коды хакерских документов и текстовые документы – так они и попали в компанию, если верить в эту версию.

Источники, упомянутые в статьях WSJ и NYT, утверждают, что все было не так, и антивирус преднамеренно разыскивал секретные документы, причем с особым коварством – по ключевым словам вроде top secret и classified. Евгений Касперский это категорически отрицает: "Наше внутреннее расследование показало, что в "Лаборатории" никогда не производилось детектирование документов по ключевым словам типа "конфиденциально" или "совершенно секретно", – заявил он Радио Свобода. Впрочем, ответ выглядит несколько уклончиво: "Технически для вендора нет ничего проще, чем вставить в систему поиск строки типа "TS//.*NOFORN" в заголовках документов и таким образом детектировать файлы, помеченные ТOP SECRET с предостережением "Не для иностранных граждан", – замечает Николас Вивер, исследователь в области компьютерной безопасности из Международного института компьютерных наук Калифорнийского университета Беркли, США. Впрочем, Вивер тут же подчеркивает, что никаких публичных доказательств, что ЛК или другой антивирусный вендор когда-либо прибегали к такому методу, нет. Скорее всего, фраза, о том, что антивирус Касперского мог искать секретные файлы по таким ключевым словам - следствие неверно понятой фразы источника, которая затем превратилась в журналистский фольклор. А вот искать по названиям секретных проектов АНБ, обнародованных в сливах Сноудена, смысл был.

472E18D8-D8EC-4DAF-975A-919F92FA61DB_w650_r0_s.jpg



Так считает, например, Шон Таунсенд, независимый исследователь в области информационной безопасности, участник и спикер Украинского киберальянса: "Лаборатория Касперского" разыскивала исходные коды целенаправленно, например, по каталогу проектов и инструментов АНБ, опубликованному Эдвардом Сноуденом после побега в декабре 2013 года. "Искал долго, около года, – уверен украинский исследователь. – Нашел компьютер в США, где нужная информация была, и слил всё к себе". В "Предварительном отчете" "Лаборатории Касперского" Таунсенд видит несколько технических несостыковок, например, его удивляет заявление специалистов, что содержавший секретные файлы архив был загружен в сеть Касперского, потому что был определен как вредоносный. "Последняя уязвимость в архиваторе 7zip была обнаружена в 2009 году. Эта отмазка нужна для того, чтобы объяснить, почему был загружен в лабораторию весь архив целиком, а не отдельный файл", – предполагает украинский эксперт. Вот еще одна несостыковка: в отчете подробно описано, что компьютер, с которого антивирус загрузил секретный архив, был заражен вирусом-троянцем Mokes через пиратский генератор ключей для Microsoft Office, и именно это якобы привлекло особое внимание аналитиков Касперского. Таунсенд говорит, что такого рода инфекции достаточно тривиальны и заинтересовать специалистов не могли, хотя специалисты Касперского подчеркнули факт этого заражения, намекая, что к компьютеру с секретными файлами могли иметь доступ и создатели бэкдора Mokes, который связывают с Китаем. В целом же Таунсенд называет внутреннее расследование компании неуклюжей попыткой откреститься от обвинений в шпионаже.

Второй спорный момент – что случилось с секретными файлами, в частности, с исходными кодами малварей Equation Group, после того как они оказались у Касперского. Сам он утверждает, что они были немедленно удалены по его прямому указанию. "Потому что данный вредонос уже был обнаружен нами ранее и не был нам нужен или интересен в качестве нового образца. Вторая причина – это проблема с обработкой конфиденциальных материалов", – объясняет он мотивацию. Теперь, говорит Касперский, в компании даже введено внутреннее правило, предписывающее сразу удалять любые потенциально секретные материалы, которые могут быть случайно обнаружены вирусными аналитиками компании.

Вот в это готовы поверить не все. "Отчет Касперского звучит убедительно, но с одним огромным исключением, – замечает Николас Вивер. – Если он получил исходный код инструментов АНБ, он бы ни за что не уничтожил копии. Обладание исходниками дает огромное преимущество: вредоносное ПО в принципе работает потому, что его сложно отличить от безопасного, антивирусам приходится полагаться на эвристические техники, которые не всегда работают. Поэтому любой антивирусный вендор мечтает заполучить исходные коды".

Даже если исходные коды попались Касперскому случайно, удалять их не имело смысла, но что, если это именно то, за чем аналитики по каким-то причинам охотились? Утечка исходных кодов кибероружия, разработанного АНБ США, в сеть Касперского предшествовала событию, о котором говорят как о причинившем больший ущерб национальной безопасности США, чем деятельность Эдварда Сноудена. Не слишком ли хорошее совпадение? Летом 2016 года американское кибероружие появилось на открытом рынке, а чуть позже с его помощью неизвестными хакерами были нанесены первые удары. Какой могла быть роль "Лаборатории Касперского"?

Об этой войне и о роли в ней "Лаборатории Касперского" читайте 19 ноября во второй части нашего расследования.
 
вторая часть о войнушке, в которой проиграла "Лаборатория Касперского"
Осенью 2017 года российская "Лаборатория Касперского" оказалась под угрозой лишиться большей части своего прибыльного американского рынка. Причина – подозрения в тесных связях с ФСБ, а особенно информация, что компания преднамеренно выкрала секретные документы Агентства национальной безопасности США, а именно исходные коды созданных американскими разведчиками вирусов. Евгений Касперский заявил, что файлы компания получила случайно и тут же удалила, но поверить ему готовы далеко не все (подробности читайте в первой части этого текста). А если все же не удалила? Вторая часть расследования Радио Свобода – об идущей уже 10 лет мировой кибервойне, в которую ввязалась "Лаборатория Касперского", и о том, как попавший к ней секретный архив мог стать причиной вирусного заражения Чернобыльской АЭС, российских отделений полиции и шоколадной фабрики из Тасмании.

Киберхиросима и другие атаки Equation Group

Одним теплым вечером в июне 2010 года белорусский программист Сергей Уласен веселился на свадьбе у друзей в 400 километрах от Минска, когда на его телефон пришло уведомление: с Уласеном хотел срочно связаться абонент из Ирана. Разговор затянулся: “Вокруг ходили разодетые в пух и прах веселые девчонки с игристым в бокалах, никто не мог понять, зачем мне понадобилось висеть на телефоне и объяснять кому-то странные вещи на странном языке, при том что я находился в лесу на свадьбе”, – вспоминал Уласен в интервью. За пару дней до этого ему, на тот момент сотруднику небольшой белорусской антивирусной компании "ВирусБлокАда" переслали письмо иранского клиента. Клиент жаловался на проблемы с компьютерами в сети – одни стали постоянно перезагружаться, на других появился “синий экран смерти” – критическая ошибка Windows. Сначала Уласен решил, что дело в неправильной конфигурации операционной системы, но почитав отчет более внимательно, понял – сеть пострадала от хакерской атаки. Специалист по компьютерной безопасности со стороны клиента сказал, что разберется с ней, но когда к субботе – рабочему дню в Иране – ничего так и не вышло, он позвонил белорусскому коллеге с просьбой о помощи. К понедельнику вирус был изолирован, а способы его распространения и эффективной защиты от обнаружения изучены. Так был обнаружен компьютерный червь Stuxnet, который позже стали считать первым в истории наступательным кибероружием.

FCF7DA51-CA50-4CC2-95A9-D8813B779F4E_w650_r1_s.png

Программируемый логический контроллер Siemens
Уласен определил, что червь использует уязвимость нулевого дня (то есть ранее неизвестную) Microsoft Windows, распространяется через флеш-накопители и локальные сети и использует украденные цифровые сертификаты. Все указывало на то, что конструировали его специалисты очень высокого уровня. Но зачем? С этим спустя несколько дней смог разобрался немецкий аналитик, изучивший выложенные Улансеном на один из месседж-бордов данные: он выяснил, что необычный вирус предназначен для атаки на программируемые логические элементы фирмы Siemens – устройства, которые используются для автоматизации технологических процессов на производстве. Фактически Stuxnet был способен нанести физический вред оборудованию, заставляя оборудование работать в нештатном режиме, причем незаметно для инженеров. Переключение сигналов светофора, регулировка систем водоснабжения, работа оборудования атомных электростанций – все это использует программируемые логические элементы, которые оказались уязвимы перед новым вирусом. Червь выглядел первой реальной угрозой человечеству, способной выйти из киберпространства в физический мир – чем-то из фильмов про Джеймса Бонда, и за изучение его функциональной части – необычайно объемной и сложной для компьютерного вируса – взялись независимые эксперты, Microsoft и все крупнейшие антивирусные компании, в том числе "Лаборатория Касперского".

Именно специалисты ЛК первыми установили, что Stuxnet использует не одну, а как минимум четыре уязвимости “нулевого дня” – указание на то, что создатели вируса имеют существенные технологические и финансовые ресурсы. Тогда Евгений Касперский впервые заподозрил, что опасный червь сконструирован в интересах государственных структур, вот только в каких? В ноябре 2010 года специалисты американской компании Symantec установили, Stuxnet атакует частотно-регулируемые приводы, устройства, с помощью которых регулируется скорость центрифуг, например, на заводе по обогащению урана в иранском Натанце.

37AB3787-3921-4969-A9B4-72B2E2EA3DDD_w650_r0_s.jpg

Махмуд Ахмадинеджад на обогатительном заводе в Натанце, Иран

Предположения, что Stuxnet специально направлен на иранскую ядерную программу, звучали еще до этого открытия Symantec, а теперь получили дополнительное подтверждение. Гипотеза, что вирус был создан именно с этой целью, а создателями выступили совместно разведывательные органы США и Израиля, становилась все более популярной и находила все больше косвенных подтверждений – от убедительных, вроде соответствия тайминга выхода новых версий Stuxnet и заявлений официальных лиц по ядерной программе Ирана, до конспирологических – например, в коде вируса один раз встречается константа 19790509, а 9 мая 1979 года в Иране был казнен промышленник еврейского происхождения Хабиб Эльганян. А вот официальных подтверждений, разумеется, не было и нет – ни со стороны предполагаемых создателей, ни со стороны жертв атаки. Наверняка неизвестно и то, смог ли Stuxnet нанести заметный ущерб иранской ядерной программе – по косвенным данным отчета МАГАТЭ можно предположить, что на производстве в Натанце пострадали около 1000 центрифуг, которые, впрочем, были быстро заменены. Кстати, в 2013 году Евгений Касперский со ссылкой на анонимный источник сообщил, что Stuxnet заразил внутреннюю сеть одной из российских АЭС. По его словам, это произошло в период наибольшей активности вируса (то есть в 2009–2011 гг). Так или иначе, за Stuxnet закрепилась репутация “киберхиросимы” – первого в истории кибероружия.

Но далеко не последнего: в сентябре 2011 года был обнаружен вирус Duqu – троянская программа, предназначенная для кражи информации с зараженного компьютера. Исследователи – российская "Лаборатория Касперского", американский Symantec и многие другие – сразу заявили, что это вредоносное ПО создавала авторы Stuxnet, во всяком случае, люди, имевшие доступ к исходному коду Stuxnet. Заражение Duqu также использовало уязвимость нулевого дня Microsoft Windows, троян использовал украденный цифровой сертификат, принадлежащий тайваньской корпорации. Дальнейший анализ показал, что большинство заражений DUQU произошли в Иране, инициаторов атаки интересовала, как утверждается в отчете, подготовленном ЛК, “любая информация о системах управления производством в различных отраслях промышленности Ирана, а также информация о торговых отношениях ряда иранских организаций”. Интересно, что заражение Duqu не было массовым – всего по имеющимся данным от атаки пострадали не более 50 объектов. Специалисты Symantec считают, что задачей Duqu был сбор данных для более точной настройки очередной версии Stuxnet.

Весной 2012 года был обнаружен вирус Flame – как и Duqu, этот червь занимался сбором информации: он мог делать скриншоты экранов зараженных компьютеров, записывать аудио, используя встроенный микрофон, скрытно передавать собранные данные на командно-контрольный сервер. Возможности Flame были крайне широки – вирус пользовался огромной библиотекой функций, это пакет программных модулей общим объемом в небывалые для вирусов 20 мегабайт (для сравнения, размер функциональной части Stuxnet – всего 500 килобайт). Значительная часть жертв Flame находились на Ближнем Востоке, большинство из них все в том же Иране (среди первых обнаруженных случаев заражения были компьютеры иранского министерства нефти). Изначально специалисты ЛК посчитали Flame самостоятельным проектом, который развивался параллельно Stuxnet и Duqu, однако после более глубокого анализа заявили, что авторы – те же, причем Flame как платформа разрабатывался еще в 2007–2008 годах, и ее модули позже были использованы в Stuxnet. Через несколько дней после того, как ЛК опубликовала эти выводы, в издании The Washington Post вышла заметка: авторы со ссылкой на анонимные источники в американском разведывательном сообществе заявили, что Flame и Stuxnet – совместная разработка АНБ, ЦРУ и израильских военных, эти инструменты были созданы в рамках программы с кодовым названием “Олимпийские игры”, задачей которой было затормозить развитие иранской ядерной программы. Операция, якобы, была начата еще в середине 2000-х, во время второго президентского срока Джорджа Буша-младшего. Источники заявили газете, что апрельская атака на иранское министерство нефти была произведена Израилем без согласования с американской стороной, и последовавшее за этим обнаружение Flame вызвало недовольство в США. Еще одно свидетельство – попавший в открытый доступ документ АНБ, в котором упоминается, что обнаружение Flame должно стать одной из тем обсуждения представителей АНБ и электронного подразделения британской разведки GCHQ. Официального подтверждения, разумеется, не последовало, но публикация WP стала еще одним подтверждением того, на что уже давно намекали в ЛК: Flame, Stuxnet, Duqu и некоторые другие вирусы, созданные на той же технологической платформе (например, Gauss, троянский вирус, предназначенный для кражи разведывательной информации финансового характера, пострадали от него в первую очередь клиенты ливанских банков), – кибероружие, созданное усилиями двух государств для атаки на третье государство.

"Группа уравнения" и "Теневые брокеры"

В 2009 году некий ученый побывал на международной конференции в Хьюстоне, штат Техас. Некоторое время спустя он, как и другие участники, получил стандартный сувенир – компакт-диск с фотографиями с конференции. Ученый вставил его в свой компьютер и начал просматривать снимки, при этом он “понятия не имел о том, что стал жертвой могущественной организации, занимающейся кибершпионажем и только что заразившей его компьютер вредоносным кодом, применив при этом три эксплойта, два из которых были эксплойтами нулевого дня”. Эта история об анонимном ученом, настоящее имя которого не называется для “защиты тайны частной жизни”, рассказана в блоге ЛК, “могущественная организация” – группировка хакеров под условным названием Equation Group, об обнаружении которой специалисты Касперского объявили на саммите по кибербезопасности в Мехико в феврале 2015 года.

Если Stuxnet, Flame, Duqu одновременно исследовали аналитики из крупнейших антивирусных компаний мира, то Equation Group – собственный трофей ЛК. Именно в московской лаборатории придумали это название для “одной из наиболее изощренных хакерских группировок в мире”, именно специалисты Касперского выпустили подробный отчет о деятельности EG – практически одновременно с объявлением о ее существовании.

Согласно этому отчету, группировка действовала как минимум с 2001 года, а возможно и раньше – с 1996-го. За это время хакеры разработали несколько платформ вредоносного ПО, которые и стали основой для атак Stuxnet, Flame, Duqu, Gauss и даже Regin – вирусом, который связывают с британским управлением радиоэлектронной разведки GCHQ (буквально – “Центр правительственной связи”). Получается, Equation Group – сборное подразделение разведок США, Израиля и Великобритании? ЛК как обычно нигде не говорит об этом прямо, но намеков дает достаточно. Например, в программных модулях EG “забыты” некоторые ключевые слова, в том числе “GROK”, “STRITACID”, “DRINKPARSLEY”, “STEALTHFIGHTER”. Эти слова совпадают (или крайне похожи) с названиями некоторых проектов и файлов Tailored Access Operations, киберподразделения АНБ, которые упомянуты в секретной презентации АНБ, слитой неизвестным инсайдером немецкому журналу Der Spiegel в 2013 году, и в данных, предоставленных журналистам Эдвардом Сноуденом в 2014 году.

Авторы отчета не утверждают прямо, что Stuxnet, Flame и другие известные “государственные” кибератаки – дело рук Equation Group, но дают понять, что они использовали схожие эксплоиты, программные модули, имели близкие наборы целей. “[EG] много лет взаимодействует с другими влиятельными группировками, такими как Stuxnet и Flame”, – уклончиво предполагают в ЛК. Кстати, список наиболее пострадавших стран, красноречиво приведенный в отчете ЛК, выглядит еще одним подтверждением связи между АНБ и EG: это главным образом Иран и Россия, а также Пакистан, Афганистан, Индия, Китай, Сирия и Мали. Некоторые из атак EG были направлены очень точно, в частности – на посетителей форумов исламских джихадистов, причем с некоторыми исключениями: заражению не должны были подвергнуться посетители из Турции, Египта и Иордании.

Итак, многие факты указывают на то, что “инструменты Equation Group” (которая, возможно, существует только на бумаге и в воображении специалистов ЛК) – кибероружие, разработанное специальными подразделениями разведок нескольких стран, в первую очередь TAO, входящей в АНБ США. И это оружие вскоре попало в другие руки – и показало человечеству, чем может обернуться кибератака в современном мире.

00017741-C190-410A-AFCE-FBB4C1FC1591_w650_r0_s.jpg

Иранский ядерный завод в Натанце

В мае 2017 года компьютерные вирусы на некоторое время стали главными героями передовиц: массовое заражение червем-вымогателем WannaCry на некоторое время парализовало работу некоторых отделений МВД в России, заводов Renault во Франции, энергетической компании в Испании, больницы на Тайване, шоколадной фабрики в Тасмании. На экране инфицированных компьютеров появлялось сообщение, что все данные зашифрованы и расшифровать их можно, только заплатив выкуп – биткоины в эквиваленте 300 долларов США. Всего атаке подверглись более полумиллиона устройств по всему миру, но больше всего случаев заражения было зафиксировано на Украине, в России и Индии. Позже эксперты установили, что злоумышленники заработали всего несколько десятков тысяч долларов, а система получения ключа за выкуп изначально была реализована с ошибкой, то есть отправлять хакерам деньги не имело никакого смысла. Кто стоял за этой атакой, неизвестно до сих пор.

Месяц спустя произошла еще одна очень похожая атака. Вирус-вымогатель, который специалисты окрестили Petya2.0 или NotPetya, поразил в первую очередь государственные и коммерческие компании Украины, в том числе правительственную сеть, Национальный банк, аэропорты Киева и Харькова и даже службу радиационного контроля Чернобыльской АЭС, которая была вынуждена временно отключиться от интернета. Позже заражению подверглись устройства и в других странах – России, странах Западной Европы, США и Индии. Как и WannaCry, вирус Petya2.0 требовал выкуп за расшифровку данных – и снова в этом изначально не было смысла, другими словами, атака была произведена не ради наживы, а для нанесения ущерба. Российская компания Group-IB считает, что за этой атакой стоит “прогосударственная группа Black Energy”. Впрочем, на самом деле BlackEnergy – название не группировки, а хакерской атаки, произведенной на украинские энергетические объекты в декабре 2015 года. Этот вирус связывают с российской группой Sandworm, регулярно атакующей украинские объекты на фоне конфликта между двумя странами.

Обе атаки, помимо псевдовымогательства и акцента на Украине, объединяет любопытный факт: они использовали уязвимости, предположительно разработанные Equation Group. Эти инструменты каким-то образом попали в распоряжение загадочной хакерской группировки The Shadow Brokers, которая летом 2016 года выставила их на открытый аукцион.

161EE6F9-3438-4D87-8E31-2CD0A6D05C26_w650_r0_s.jpg

Экран компьютера, зараженного вымогателем WannaCry

The Shadow Brokers возникли летом 2016 года словно бы из ниоткуда. 13 августа в только что созданном твиттер-аккаунте @shadowbrokerss появилась ссылка на приглашение поучаствовать в “аукционе кибероружия Equation Group”. На ломаном (пожалуй, даже нарочито) английском языке его авторы сообщают: “Мы взломали Equation Group. Мы нашли много-много кибероружия Equation Group. Вы видите картинки. Мы предлагаем вам некоторые файлы Equation Group бесплатно, видите? Это достаточное доказательство нет? Вы наслаждайтесь!!!”.

Это как если бы у армии США украли ракеты "Томагавк"
Одним из выложенных группировкой инструментов был эксплоит EternalBlue, и именно на нем спустя несколько месяцев были построены атаки WannaCry и Petya2.0. В день, когда была обнаружена атака WannaCry, 14 мая 2017 года, Microsoft опубликовал официальное заявление, в котором открыто раскритиковал АНБ и ЦРУ за “накопление [компьютерных] уязвимостей”. Государственный разведывательные структуры знают о дырах в компьютерных системах, например, той, которую использует эксплоит EternaBlue, но хранят эту информацию при себе, не позволяя вендорам выпускать заплатки. А что, если такое кибероружие попадет в руки преступников? “Тот же сценарий в обычных вооружениях – это как если бы у армии США украли ракеты "Томагавк”, – заметил президент Microsoft Брэд Смит. Аутентичность дампа The Shadow Brokers позже подтвердил и бывший министр обороны США и директор ЦРУ Леон Панетта, признавший в интервью в ноябре 2017 года, что “эти утечки нанесли огромный ущерб нашим разведывательным и кибернетическим возможностям [...] Когда такое происходит, приходится начинать все сначала”.

Российские безопасники по ночам превращаются в российских хакеров, но только при полной луне
Так в чьи же руки попали кибертомагавки? The Shadow Brokers продолжили публиковать утечки до апреля 2017 года. Каждое объявление сопровождалось текстом анархистского толка, например, утечка конца октября 2016 года содержала призыв “взламывать” президентские выборы в США или мешать им – “Может люди не идут на работу, ищут местные места для голосования, протестуют, блокируют, мешают, ломают оборудование, рвут бюллетени?”. В другом сообщении авторы иронизируют: “Российские безопасники по ночам превращаются в российских хакеров, но только при полной луне”. Но корявый английский язык, намеки на связь с Россией, идеологизированное содержание этих сообщений, могли быть умелой маскировкой. Примечательно, что финансовый вопрос как будто с каждым сообщением все меньше интересует хакеров – они готовы отдать инструменты едва ли не за бесплатно.

В ноябре 2017 года газета New York Times рассказала, что продлившееся полтора года внутреннее расследование АНБ слива The Shadow Brokers (который охарактеризован как больший ущерб американской разведке, чем действия Сноудена) изначально разрабатывало две версии – внутреннюю утечку и внешнюю атаку, причем, вероятнее всего со стороны России. Или и то и другое. В связи с расследованием были арестованы как минимум три сотрудника АНБ (один из них – тот самый, с чьего компьютера антивирус Касперского сгрузил секретные файлы).

16B2110D-606D-4825-8D33-6E8B8550FD2B_w650_r0_s.jpg

Эдвард Сноуден выступает на конференции по кибербезопасности через видеосвязь

Но рассуждая о второй версии – внешней хакерской атаке – журналисты упоминают российскую компанию, которая “готовила отчет, который позволил поменяться с США местами [в направлении хакерских атак], (...) охотилась на шпионское ПО, установленное хакерами АНБ отчасти на основе ключевых слов и кодовых имен, озвученных в файлах мистера Сноудена и опубликованных журналистами”. Эта компания, разумеется – Лаборатория Касперского, а отчет – описание инструментов Equation Group, которое можно сравнить с досье кибернетических возможностей АНБ.

Жертва навета или жертва провала

Итак: Лаборатория Касперского год за годом изучает, анализирует, описывает “государственные” атаки – Stuxnet, Duqu, Flame, Gauss, Regin, за которыми, на что регулярно намекают отчеты компании, стоят спецслужбы США, Израиля и Великобритании. Некоторые из этих вирусов ЛК анализирует параллельно с другими крупными вендорами, как например со Stuxnet, наиболее подробный отчет о котором составила калифорнийская Symantec. Другими малварями, как с Flame, российский вендор занимается заметно обстоятельнее конкурентов. Наконец, ЛК полностью самостоятельно и первой в мире описывает самый мощный киберарсенал, принадлежащий Equation Group, а на самом деле, и в этом мало кто сомневается, киберподразделению АНБ (и, возможно, аналогичным структурам некоторых союзников США). В какой-то момент в руки компании попадает архив, содержащий некоторые исходные коды этих инструментов. И вот, год спустя в интернете возникает таинственная группировка, называющая себя The Shadow Brokers, которая предлагает приобрести исходные коды малварей Equation Group (используя название, изобретенное ЛК).

Кто еще, кроме Лаборатории Касперского так давно и старательно соблюдал информацию об арсенале АНБ, кто имеет для этого технические возможности, чей еще антивирус способен “случайно” зацепить и загрузить на свой сервер секретные документы и исходные коды малварей? Предположение, что между The Shadow Brokers и Лабораторией Касперского можно поставить что-то вроде знака равенства не выглядит таким уж диким.

Эксперт по кибероружию и бывший хакер Андрей Споров уверен, что между ними во всяком случае существует связь, то есть The Shadow Brokers выставили на продажу файлы, доставшиеся им напрямую или опосредованно, например, через российские спецслужбы, от Лаборатории Касперского. “Это мое субъективное профессиональное экспертное мнение. Я говорил про SB, когда никто в СМИ не говорил, что ЛК получила что-то, имеющее отношение к Equation. Для меня просто было очевидно сочетание всех фактов. Я никогда не верил в то, что SB видит своими целями какие-то продажи и т.п. Для меня это так же было очевидно, что это "увод в сторону", цель не в этом”, – объясняет Споров.

При этом все случившееся – от интереса Касперского к Equation Group через дамп The Shadow Brokers и к проблемам американского бизнеса ЛК эксперт называет провалом российских спецслужб. Споров рассуждает о том, что могло произойти на самом деле: компания могла передать силовикам попавшее к ней импортное кибероружие в качестве оперативных материалов, то есть для изучения и внутренней работы, но не для публичного использования или тем более публикации. Спецслужбы же из собственных политических соображений могли организовать слив информации через выдуманную группировку The Shadow Brokers, и тем самым, во-первых, раскрыли свой источник, и методы получения информации, во-вторых, походя, разрушили зарубежный бизнес одного из самых успешных российских несырьевых экспортеров, а в-третьих, сделали российский софт на много лет вперед токсичным, как и многое, что происходит из страны “водки, медведей и КГБ”.

DA05EA24-B86C-49BA-9020-6CF1D9CB79B8_w650_r0_s.jpg

В лобби Лаборатории Касперского
В том, что The Shadow Brokers слили файлы, полученные Касперским уверен и украинский эксперт по кибербезопасности Шон Таунсенд. Он напоминает о порядке событий, описанном в начале этой главы: интерес ЛК к Equation Group, признанная компанией загрузка исходных файлов инструментов АНБ и – спустя год, как раз вскоре после обвинений в адрес России во взломе серверов комитета Демократической партии США, появление инструментов АНБ на открытом рынке.“С моей точки зрения не так уж важно, кто именно стоит за TSB – это мог быть сотрудник Касперского, сам Касперский, или к примеру ФСБ. Касперский мог отдать информацию чекистам, а реализовать её (не в техническом, а в политическом плане) могла другая спецслужба, даже не понимая, что при этом случится с ЛК”, – рассуждает Таунсенд.

Может быть, Касперский передал ФСБ секретные файлы АНБ из патриотизма – чтобы помочь защитить страну от угрозы извне? Евгений Касперский категорически отрицает, что в принципе мог иметь такую мотивацию. “Если мы получим образец наступательного кибероружия, то мы тут же разработаем способ защиты наших пользователей, и распространим его через обновления, – заявил он Радио Свобода. – Я неоднократно подчеркивал, что как частная компания мы не имеем никаких политических связей с каким бы то ни было правительством. Мы гордимся своим партнерством в сфере борьбы с киберпреступностью с властями разных стран и международными правоохранительными организациями, включая ИНТЕРПОЛ, Европол и ООН. Повторюсь, мы сотрудничаем исключительно с борцами с киберпреступностью”.

В убедительно выглядящих описаниях того, как могла выглядеть связь ЛК и The Shadow Brokers, не хватает одного – доказательств. Евгений Касперский настаивает, что стер попавший в компанию секретный архив и утверждает, дамп The Shadow Brokers в любом случае состоит из других файлов: “Насколько мы можем судить по телеметрии, это были разные архивы”, – утверждает он.

Независимый американский специалист Николас Вивер отмечает, что в версии о существовании связи между ЛК и сливом SB есть нестыковки: “The Shadow Brokers выложили четыре транша данных. Два из них были точно украдены с отладочных серверов под Linux, через которые аналитики из АНБ атакуют свои цели, еще один очевидно был с рабочей Windows-системы аналитика и еще там был один набор инструментов под Windows неизвестного происхождения (возможно, с той же рабочей станции), – рассуждает Вивер. – К тому же тайминг не совпадает. Словом, есть НОЛЬ улик, что Касперский связан с The Shadow Brokers и много улик, доказывающих противоположное”.

В окончательном отчете о загрузке секретного архива в 2014 году специалисты Касперского делают особый упор на то, что американский компьютер, с которого файлы попали в сеть Касперского, был заражен более, чем сотней вирусов, в том числе, бэкдором Mokes, связанным с китайской хакерской группой (в начале 2010-х его предлагали приобрести в российском киберподполье, замечают авторы документа), и все это является прямым намеком на то, что секретная информация из того же архива могла оказаться не только у Касперского, и именно от третьей стороны попасть в руки The Shadow Brokers.

Токсичность

В мая-июне 2017 года издание The Insider опубликовало несколько материалов о взломе почты президента Франции Эммануэля Макрона. В частности журналисты рассказали о том, что один из взломщиков косвенно связан с Центром специальных разработок Минобороны России. Об этом же достаточно новом подразделении российской армии писало и издание Meduza в материале, описывающем из каких частей могут состоять российские кибервойска или пресловутые “российские государственные хакеры”. Центр специальных разработок активно нанимает программистов и специалистов в криптографии. Чтобы привлечь талантливых студентов, эта любопытная организация даже регулярно поддерживает соревнования CFT (Capture The Flag) – популярную в России командную игры для “white hats”, то есть хакеров, которые занимаются не атаками, а защитами от них. Другим активным участником CFT-движения является Лаборатория Касперского.

Следует ли из этого, что Касперский связан и с армейскими хакерами? Нет, но очевидно, что крупнейшая в стране компания, занимающаяся кибербезопасностью регулярно сталкивается с соответствующими подразделениями в разведке, полиции и Министерстве обороны. В конце концов, кадров соответствующей квалификации в стране не настолько много, чтобы между эти структурами не боролись за одни и те же таланты, не знали друг друга по конференциям, не были однокашниками, не перетекали между одними и теми же организациями.

Яркий пример – бывший сотрудник подразделения по борьбе с киберпреступностью (управления “К”) ГУВД Москвы майор Руслан Стоянов, в 2012 году ставший главой отдела расследований Лаборатории Касперского. МВД и ФСБ привлекали подразделение Стоянова к поиску и задержанию группировки хакеров, создавшей вирус Lurk. С его помощью со счетов пользователей в России и странах бывшего СНГ была похищена астрономическая сумма. В конце весны 2016 года правоохранители с удовлетворением отчитались о задержании преступников. А через полгода Стоянова, а также сотрудников Центра информационной безопасности (ЦИБ) ФСБ России Сергея Михайлова и Дмитрия Докучаева арестовали по обвинению в госизмене – по данным Reuters, “фигуранты дела передавали секретные данные американской компании Verisign и другим коммерческим организациям, которые в свою очередь передавали эти данные спецслужбам США”. Кстати, не задержание ли группировки Lurk, которому привлекли Лабораторию Касперского, имели в виду авторы расследования в Bloomberg?

Еще одна публичная связь между ЛК и спецслужбами – центр реагирования на инциденты в сфере информационной безопасности (CERT), который создается "Лабораторией Касперского" для отражении атак на ключевые объекты российской инфраструктуры, такие, как атомные электростанции, предприятия ядерно-топливного, нефтегазового и энергетического комплексов. Вероятно, этот центр будет работать в связке или как часть системы ГосСопка (системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы), создание которой в январе 2013 года Владимир Путин поручил ФСБ. Комментируя эту работу Евгений Касперский заявил: “Мы вовлечены в экспертную работу и используем все возможности сотрудничества для борьбы с вредоносным кодом и хакерами. При этом мы всегда действуем как независимая коммерческая компания, не ангажированная госструктурами”. Кстати, не об этой ли системе защиты от хакерских атак, которой ЛК занимается по “большой просьбе с Лубянки” идет речь в материале Bloomberg?

Мы сотрудничаем только с теми спецслужбами, которые борются с преступниками. Точка

“Мы сотрудничаем с российскими спецслужбами в той же мере, что и с любыми другими международными правоохранительными организациями. Наше взаимодействие строится исключительно на совместном расследовании киберпреступлений. Точка. Мы сотрудничаем только с теми спецслужбами, которые борются с преступниками”, – так выглядит стэйтмент Евгения Касперского по поводу подозрений о связи его компании с ФСБ (отдельно он подчеркнул, что истории о “группе Чикунова” в ЛК – “бред и неправда”). Можно ли было увязнуть коготком, а всей птичке не пропасть – и ограничиться совместным походом в баню, поимкой преступников и работой над большой оборонительной системой? Неизвестно, но крестовый поход Касперского против “государственных” вирусных атак не мог не заинтересовать российские спецслужбы и не стать раздражителем для американских. Теперь Лаборатория Касперского декларирует принцип прозрачности и готова открыть код своих продуктов, чтобы все убедились – они не занимаются поиском по ключевому сочетанию “top secret”. Основатель компании рвется свидетельствовать перед Сенатом США. Но уже, вероятно, поздно – чекистская токсичность, все сильнее поражающая Россию, перекинулась и на “Лабораторию Касперского”, словно какой-нибудь компьютерный вирус.
 
  • Like
Реакции: Wolf
troll.jpg
На далекий от политических тем автомобильный сайт av.by произошло «нашествие» антиевропейских комментаторов, который начали политический диспут в комментариях.
СЕО av.by Дмитрий Геранин на своей странице в Facebook сообщил следующее:
«Бомба! av.by и пропаганда. Кажется, мы только что вскрыли сеть аккаунтов, которые занимаются у нас на ресурсе антиевропейской политической пропагандой.
Сейчас будет много текста, дочитайте до конца. Каждый сделает из этого свои выводы, я сделал свои. Сразу оговорюсь, что этот текст не про разжигание, а про процессы в интернете, и что все не так однозначно, как это кажется на первый взгляд.
http://kyky.org/news/ataka-antievropeyskoy-propagandy-na-av-by
 
Назад
Сверху Снизу