Еще в конце октября 2017 года представители «Лаборатории Касперского» обнародовали предварительные результаты внутреннего расследования инцидента, о котором ранее в том месяце много писали американские СМИ.

Напомню, что тогда издания The Wall Street Journal, The Washington Post, The New York Times и другие обвинили «Лабораторию Касперского» в умышленной модификации своего ПО с целью хищения секретной информации американских спецслужб. Ссылаясь на собственные источники, журналисты сообщали, что в 2015 году неназванный сотрудник спецслужб загрузил секретную информацию на свой домашний компьютер, где было установлено антивирусное решение «Лаборатории Касперского», с помощью которого эти данные в итоге были похищены. В своих статьях издания высказывали предположения, что ПО компании было намеренно модифицировано российскими спецслужбами.

При этом сообщалось, что информация о причастности антивирусного производителя к хищению секретных данных АНБ поступила от израильских спецслужб. Якобы в 2015 году израильские хакеры взломали «Лабораторию Касперского» и обнаружили принадлежащую АНБ информацию (в том числе и некие «хакерские инструменты») во внутренней сети компании.

16 ноября 2017 года «Лаборатория Касперского» сообщила, что завершила внутреннее расследование инцидента и опубликовала полные результаты.

В целом новый отчет подтверждает предварительные выводы, обнародованные компанией еще в конце октября, хотя документ также содержит и новые факты. Выяснилось, что человек, с компьютера которого произошла утечка предположительно секретной информации,  действительно пользовался антивирусным решением «Лаборатории Касперского», но регулярно отключал его, устанавливал весьма подозрительные с точки зрения безопасности программы, и на его машине был обнаружен целый «зоопарк» различных вредоносов. В итоге анализ телеметрии показал, что удаленный доступ к устройству этого пользователя могло иметь неизвестное количество третьих лиц.

В частности компьютер был заражен бэкдором Mokes, который позволяет злоумышленникам получить удаленный доступ к устройству. Mokes (также известный под названиями Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных андеграундных форумах в 2011 году. Исследование «Лаборатории Касперского» показало, что в период с сентября по ноябрь 2014 года управляющие серверы этого вредоноса были зарегистрированы на, предположительно, китайскую организацию под названием Zhou Lou.

Дальнейший анализ обнаружил, что Mokes мог быть не единственной малварью, заразившей указанный компьютер в период инцидента. Исследователи пишут, что за два указанных месяца защитное решение «Лаборатории Касперского», установленное на компьютере, сообщило о 121 образце вредоносного ПО, не относящемся к Equation. Среди них были бэкдоры, эксплоиты, трояны и рекламные программы.

Специалисты пишут, что учитывая ограниченное количество доступной телеметрии (напоминаю, что решение «Лаборатории Касперского» периодически отключалось пользователем), нельзя однозначно сказать, запускались ли обнаруженные вредоносы в период, относящийся к инциденту. Эксперты продолжают работать над изучением данного вопроса.

Итоговые выводы, представленные в финальном отчете, таковы:

«Защитное решение “Лаборатории Касперского” сработало ровно так, как и должно было сработать при обнаружении вредоносного кода. Оно уведомило аналитиков компании об угрозе на основании сигнатур ПО группировки Equation, деятельность которой на тот момент расследовалась уже шесть месяцев. Все эти действия соответствуют заявленной функциональности продукта, стандартным сценариям его работы и юридическим документам, согласие с которыми выражает пользователь перед установкой решения.

Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation.

Помимо вредоносных программ, указанный архив также содержал исходный код ПО группировки Equation и четыре текстовых документа с грифами секретности. “Лаборатория Касперского” не обладает какой-либо информацией о содержании этих документов, так как они были удалены после получения.

“Лаборатория Касперского” не может оценить, были ли соблюдены формальные процедуры обращения с секретными данными, соответствующие американскому законодательству. Эксперты компании не проходили инструктаж по обращению с засекреченными документами и не имеют юридических обязательств его проходить. При этом никакая информация из документов не передавалась третьим лицам.

В отличие от версии, озвученной в некоторых СМИ, не было найдено доказательств, что исследователи “Лаборатории Касперского” когда-либо пытались целенаправленно искать документы с пометками “совершенно секретно”, “засекречено” и другими аналогичными.

Заражение компьютера бэкдором Mokes и потенциальное заражение другим вредоносным ПО указывает на возможность того, что доступ к данным пользователя мог получить неизвестный круг третьих лиц».



8 комментариев

  1. xakep

    17.11.2017 at 14:35

    израильская разведка:
    — мы нашли секретные документы АНБ в сети касперского.
    касперский:
    — всё правильно. вы сами подписались на это. наша система телеметрии отправляет все подозрительные файлы, включая документы. и потом, сотрудник АНБ сам виноват. у него там целый зоопарк!

  2. Nick

    18.11.2017 at 21:08

    Цирк с конями… АНБ, организация, которая сама делает и покупает самые крутые и сложные зловреды, то ли ни фига не защищает свои компы с секретами от чужих зловредов, то ли хранит секретные доки на компах, где тестирует свои зловреды… То ли Каспер придумал красивую легенду…

    • john_

      20.11.2017 at 06:40

      Слишком много пазлов для красивой истории.
      Но в идеале конечно есть функционал удаленного обновления КИСа. И что тут можно натворить — ограничивается фантазией ФСБ. Если все таки Евгений и правда с ними сотрудничает. Доказательств попрежнему нет, только теории заговора.

      • emeliyanov

        26.11.2017 at 20:51

        «Если»? Вы не в курсе утекшей переписки о «большой просьбе с Лубянки»? Погуглите. Как мне кажется, компьютер сотрудника АНБ не был заражен малварью, он просто хранил коллекцию малвари — либо существующей (для исследования), либо внутренних АНБшных инструментов. Касперский вполне правильно решил, что это малварь (если там были новые незасвеченные образцы для использования АНБ — то при помощи эвристики) и отправил его а автоматическом режиме для исследования в штаб-квартиру. Ну а потом «друзья с Лубянки» и т.п.

  3. xanter

    20.11.2017 at 11:01

    всегда найдется человек который выключит все системы безопасности и потом будет жаловаться

  4. Anty

    20.11.2017 at 22:21

    Даже если Каспер не сотрудничает с ФСБ, хозяин «протекшего» устройства дважды бедолага — сперва попал в историю с Каспером, а теперь своим разгильдяйством наверняка вызвал в своей конторе волну тотальных проверок. Не позавидуешь, если его найдут, свои же.

  5. Lmar

    22.11.2017 at 00:14

    Не обязательнт он должен быть сотрудником АНБ, чтобы иметь этот архив

Оставить мнение