Если вы - спецслужба, пытающаяся установить глобальный контроль над информацией, то компания из России, которая выпускает антивирусы, может стать для вас врагом номер один. Ведь она не расскажет, как эти антивирусы обойти, чтобы спокойно подслушивать и подглядывать.

Многолетняя ломка

Бывший сотрудник Агентства национальной безопасности Эдвард Сноуден рассказал, как американцы пытались взломать ненавистную "Лабораторию Касперского". В союзе с британским Центром правительственной связи (Government Communications Headquarters) АНБ пыталось найти слабые места антивирусов. При этом именно российский игрок чаще всего фигурировал в переписке американских и британских агентов. Такова информация из раскрытых секретных материалов.

Сразу объясним, почему именно бизнес Евгения Касперского вызвал у спецслужб такой оживленный интерес. Дело в неприятном для них совпадении: "Лаборатория Касперского" является одним из лидеров в своей нише и предоставляет услуги 400 млн пользователей по всему миру. Антивирус используют и 270 тыс. корпоративных клиентов. Многие из этих людей и компаний могли попасть в списки АНБ и ЦПС, но следить за ними из-за антивируса практически невозможно. При этом компания-разработчик находится в России, то есть в одной из наиболее независимых и закрытых для западных спецслужб стране.

Чтобы найти слабые места в антивирусных продуктах "Лаборатории Касперского", программисты из США и Великобритании использовали так называемый обратный инжиниринг, то есть получали часть кода и разбирались в том, как он был написан. АНБ в то же время следило за обменом информацией между серверами "Лаборатории" и антивирусами, чтобы получить представление о том, как работает система и кто ею пользуется. Просматривалась и электронная почта, в которой описывались новые типы вирусов, обнаруженные в сети.

Для того чтобы обойти антивирус, нужно найти слабые места в нем и "притвориться" этим антивирусом. Операционные системы доверяют такому ПО и дают ему практически полную свободу действий и доступ ко всем файлам.

Нарушение авторского права

Действия спецслужб в данном случае являются незаконными, и чтобы все прошло гладко, британцы и американцы, в рамках своих собственных систем и в общении друг с другом, согласовывали новые операции. Так, еще в 2008 г. Центр государственных коммуникаций, как сообщает The Intercept, отправил запрос на обновление ордера, позволяющего разбирать на составные части и изучать код антивирусов, являющихся помехой для действий шпионов. В документе именно "Лаборатория Касперского" значится как ключевая угроза: "Персональные системы защиты, такие как российский антивирус Kaspersky, по-прежнему бросают вызов системе взлома сетей, и обратный инжиниринг необходим, для того чтобы обойти такие программы и чтобы наши действия не засекли".

Ордер, который выписывает профильное министерство, якобы вписывает обратный инжиниринг в рамки закона, но по факту изучение кода является нарушением авторского права. В корпоративной среде подобные несогласованные действия могут привести к судебным разбирательствам. Чтобы защитить свой код, компании используют системы шифрования, которые непрерывно совершенствуются. Для спецслужб расшифровка антивируса Касперского, скорее всего, была делом непростым и отнюдь не дешевым.

АНБ, обнаружив, что компьютеры с установленным антивирусом обмениваются с серверами "Лаборатории Касперского" информацией, научились точно определять, на каких конкретно машинах установлен данный антивирус. Казалось бы, эта информация не так уж и важна... Однако с ее помощью хакеры знали, что конкретный компьютер нужно взламывать с учетом конкретного антивирусного ПО.

Удалось ли американским и британским хакерам сломать Касперского? Об этом ничего не сообщается. Представители российской компании утверждают, что данные, отправляемые в головной центр с отдельных компьютеров, обезличены и не могут быть использованы для вычисления конкретных машин.

Интересно также посмотреть на список других компаний, названия которых фигурировали в переписке, опубликованной Сноуденом и The Intercept. В презентации шпионского проекта CAMBERDADA в качестве потенциальных целей называются российские DrWeb, "РусКомНет", "Комкор". В поле зрения шпионов попали и финская F-Secure, румынская BitDefender, немецкая Avira, словацкая ESET, южнокорейская AhnLab и чешские AVG и Avast.

Еще одно нападение на Касперского: есть ли связь?

В начале июня "Лаборатория Касперского" сообщила, что хакеры использовали вирус, поражающий оперативную память компьютера. Он не вторгается на жесткий диск, что значительно усложняет работу антивируса. Предположительно, эта вредоносная программа является деривативом трояна Duqu, который в 2011 г. поразил компьютеры в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране.

Тогда злоумышленники использовали уязвимость в Microsoft Word, а теперь переключились на инсталлятор программ, встроенный в Windows. Отметим, что с помощью Microsoft Software Installer специалисты в области IT устанавливают приложения на удаленные компьютеры. В общей же сложности использовалось сразу три слабых места в системе.

Разработка "Duqu 2.0" могла обойтись в $50 млн, и создавался вирус не только ради кражи корпоративных секретов. Да, хакеры действительно пытались получить информацию о технологиях и исследованиях "Лаборатории Касперского", но параллельно занимались политическим шпионажем.

В официальном сообщении "Лаборатория Касперского" расставляет точки над "i": "Есть основания считать, что эта кампания спонсируется на государственном уровне". Кто именно выделил деньги на разработку новой версии Duqu, разработчики антивируса не рассказывают.

Однако стоит обратить внимание на тот факт, что в 2014-2015 гг., как стало известно, шпионы применили этот инструмент и для наблюдения за переговорами по иранской ядерной программе в формате "5+1". Wall Street Journal утверждает, что признаки действия вируса обнаружены в отелях, где проживали участники переговоров. Что удивительно, хакеры попробовали раздобыть информацию и о мероприятиях, посвященных годовщине освобождения узников Освенцима.

Святослав Бочаров