22 июня 2015 года, проект Intercept опубликовал очередную порцию документов Сноудена о слежке АНБ за антивирусными компаниями и обратной разработке антивирусных программ. В такой слежке нет ничего удивительного, потому что трафик между пользователями антивирусов и серверами производителя даёт очень много полезной информации, в том числе образцы свежих зловредов, использующих 0day-уязвимости. Конечно же, АНБ тоже хочется использовать такие уязвимости.
Антивирусные компании, естественно, отрицают всякие возможности сотрудничества с АНБ, а также уверяют в надёжной защите своих программ и шифровании трафика между клиентами и сервером. Но факты говорят об обратном.
Буквально через пару дней после публикации документов хакер Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero в компании Google показал, как легко взломать, например, антивирус ESET NOD32. Кстати, этот словацкий антивирус тоже указан в презентации АНБ.
Орманди обратил внимание на работу эмулятора ESET NOD32 — песочницы, в которой исполняется потенциально вредоносный код. Эмулятор должен быть надёжно изолирован от основной системы, но в реальности это не так, и эмулятор «тривиально взламывается», как выразился хакер, так что вредоносный код может проникнуть в материнскую систему. В демонстрации показывается, как можно отправить на компьютер жертвы эксплоит, который благодаря ESET NOD32 скомпрометирует всю систему.
Уязвимость присутствует во всех версиях ESET NOD32 на всех платформах, так что её вполне могло использовать АНБ.
Парадоксально, что сам антивирус, который должен защищать компьютер, в реальности становится средством для проникновения в систему.
