Киберподлог по-американски: как ЦРУ выдаёт себя за «Лабораторию Касперского»

Штаб-квартира ЦРУ в Лэнгли, штат Виргиния Штаб-квартира ЦРУ в Лэнгли, штат Виргиния Штаб-квартира ЦРУ в Лэнгли, штат Виргиния

Центральное разведывательное управление США создало специальную платформу, которая маскировала вирусы-шпионы под программы «Лаборатории Касперского». Об этом говорится в документах, опубликованных ресурсом WikiLeaks. Евгений Касперский подтвердил, что опубликованные от имени возглавляемой им компании сертификаты были поддельными. Ранее Соединённые Штаты обвинили «Лабораторию Касперского» в кибершпионаже. Как американская спецслужба занималась киберразведкой под чужим флагом - далее в материале.

Ресурс WikiLeaks в рамках отчёта Valut 8 начал публиковать детали программного кода шпионских программ. В результате выяснилось, что в трёх вскрытых WikiLeaks случаях ЦРУ подделывало сертификаты российской компании «Лаборатория Касперского». 

«Мы исследовали отчет Vault 8 и подтверждаем, что сертификаты, выпущенные от нашего имени, поддельные. Наши клиенты, персональные пароли и сервисы безопасны и не затронуты», — написал в своём Twitter генеральный директор компании «Лаборатория Касперского» Евгений Касперский.

Имитация киберследа 

Напомним, Wikileaks продолжает серию публикаций конфиденциальных документов ЦРУ под кодовым именем Valut, которая началась 7 марта 2017 года. Тогда была раскрыта информация, касающаяся шпионской деятельности ЦРУ в киберпространстве.

В частности выяснилось, что Центральное разведывательное управление могло получать доступ не только к домашним и рабочим компьютерам отдельных пользователей или серверам организаций, но и к системам управления автомобилями или, например, Smart TV.

Кроме того, подразделение ЦРУ UMBRAGE занималось сбором информации о техниках, используемых хакерами разных стран. Это давало агентству возможность маскироваться под русских, китайских или северокорейских хакеров, имитируя цифровые следы их причастности к тому или иному взлому.

17 апреля 2017 года Wikileaks опубликовала первую информацию о платформе HIVE. Эта система позволяла ЦРУ с помощью вредоносной программы получать информацию с заражённых машин. При этом программа использовала «не выглядящие подозрительно маскировочные домены, чтобы скрыть своё присутствие».

9 ноября в рамках Valut 8 WikiLeaks начал публиковать детали программного кода шпионских программ. И в первую очередь была детализована информация по HIVE. Выяснилось, что в трёх проанализированных WikiLeaks случаях ЦРУ подделывало сертификаты российской компании «Лаборатория Касперского». Таким образом  даже при обнаружении вредоносной программы пользователь воспринимал её как выпущенную российской компанией.

«Это должно было быть сенсацией вселенского масштаба. Но не будет. Авторы предыдущих сенсаций не согласятся, — прокомментировал в своём Facebook эту информацию Глава комитета Совета Федерации по международным делам Константин Косачёв. — Крохотное, сквозь скважину, проникновение в мастерскую обеспечения теории заговора против американской исключительности».

По ложному следу

«Настоящие, не подвергнутые никаким изменениям, чистые документы», — так охарактеризовал новые данные WikiLeaks в эфире RT бывший аналитик ЦРУ Рэй Макговерн.

По его словам, задача платформы HIVE не только скрыть следы деятельности ЦРУ, но и «продемонстрировать, что это, возможно, русские».

«Киберпреступники стараются скрыть всё, начиная с того, какими серверами они пользуются, и до различных средств анонимизации», — отметил в беседе с RT руководитель аналитического центра компании Zecurion Владимир Ульянов.

Он подчеркнул, что очень часто хакеры пытаются пустить следствие по ложному следу.

«Для этого специально создаются псевдоулики, которые указывают на другое лицо или страну, — поясняет эксперт. — Если речь идёт о создании исходных кодов, то часто используется оставление комментариев на том или ином языке. Например, если были комментарии на корейском, все начинают думать, что это были корейские хакеры». 

Ещё один классический трюк — время создания программ, отмечает Ульянов, оно фиксируется в исполняемых файлах, привязанных к определённой временной зоне. Исходя из того, были ли это рабочие часы в том или ином месте, можно выдвигать обвинения против определённых стран.

«Касперский — настоящая жертва этих действий, — заявил в интервью RT эксперт по кибербезопасности, глава отдела информационной безопасности международной компании Grant Thornton Consultants Пьерлуиджи Паганини. — Правительственное агентство ЦРУ занималось кибершпионажем под чужим флагом для того, чтобы труднее было определить ответственных».

«Обвинения голословны»

Напомним, американские СМИ в начале октября 2017 года начали публиковать информацию о том, что якобы антивирусное оборудование «Лаборатории Касперского» выполняло шпионские функции.

Как отмечали The New York Times и The Washington Post, изначально эта информация якобы была передана американцам израильской разведкой. Ранее, в сентябре 2017 года, министерство внутренней безопасности Соединённых Штатов предписало всем государственным службам и компаниям в трёхмесячный срок отказаться от продуктов российской компании.

Заявления о шпионской деятельности «Лаборатории Касперского» использовались в американских СМИ в качестве очередного доказательства «русской угрозы». Впрочем, как отмечают эксперты никаких серьёзных доказательств, сравнимых с уликами против ЦРУ, которые публикует WikiLeaks, общественности представлено не было.

«Главная проблема именно в том, что все эти обвинения голословны, — утверждает Ульянов. — Кто-то, даже не эксперт в области IT или кибервооружений, просто политик, заявляет, что за этой атакой стоят русские хакеры, что они хотят вмешаться во внутренние дела, но никаких доказательств не приводится».

По словам эксперта, теоретически собрать такие доказательства можно, тем более используя ресурсы американских спецслужб.

«Но в большинстве случаев не выпускается никаких серьёзных отчётов, где с технической точки зрения было бы подтверждено, что за такой-то атакой стоят китайцы, за такой-то русские, за такой-то Северная Корея», — подчеркнул эксперт.

Шпионский архив

Между тем в «Лаборатории Касперского» неоднократно опровергали все обвинения в кибершпионаже. Как заявил Евгений Касперский, при проведении внутреннего расследования компании выяснилось, что единственный инцидент, который приводят в качестве доказательства американские СМИ, имел место в 2014 году.

Тогда на компьютере одного из пользователей в США было обнаружено вредоносное программное обеспечение. Среди отправленных на анализ в компанию заражённых файлов оказался zip- архив. А в нём программный код, использовавшийся хакерской группой Equation Group, те самые секретные данные АНБ. Оказалось, что сотрудник агентства хранил их на домашнем компьютере и зачем-то на время отключал антивирус Касперского. В это время на его компьютере и запустилась вредоносная программа.

Примечательно то, что саму Equation Group эксперты неоднократно связывали с американскими спецслужбами, а именно АНБ.

Так, финская компания F-Secure, специализирующая на кибербезопасности, утверждает, что злоумышленники использовали разработанную АНБ программу IRATEMONK, позволяющую вредоносным программам оставаться на заражённых компьютерах даже при форматировании жёстких дисков.

Месть разведок

По мнению опрошенных RT зарубежных аналитиков, пристальное внимание американских спецслужб к «Лаборатории Касперского» и попытки дискредитировать компанию вызваны тем, что это наиболее известная и крупная российская фирма, занимающаяся производством антивирусного софта в мире.

«ЦРУ должны были проявить интерес к очень успешной компании, базирующейся в России, которая предоставляет услуги интернет защиты», — заявила в эфире RT бывший аналитик британской спецслужбы MI5 Энни Махон.

Другая причина — исследование «Лабораторией Касперского» вируса Stuxnet.

В 2015-м году «Лаборатория Касперского» сообщила, что хакерская Equation Group может быть связана с разработчиками вируса Stuxnet, атаковавшего в 2010 году объекты ядерной программы Ирана.

Тогда «Лаборатория Касперского», расследуя появление Stuxnet, заявила, что «этот тип атак может проводиться только при государственной поддержке».

«Не забывайте, что «Касперский» был той фирмой, которая первой вскрыла связанную с АНБ активность по кибершпионажу по всему миру», — отметил Пьерлуиджи Паганини.

Позже последовали многочисленные заявления экспертов о причастности спецслужб США и Израиля к разработке вируса. В частности, об этом писали The New York Post и Haaretz. В 2015 году в Reuters прошла информация о том, что США пытались использовать вирус для борьбы с ядерной программой Северной Кореи.

«Stuxnet применялся против центрифуг, которые обогащали уран, и никто не знал, откуда он взялся. Казалось, что его использовали как оружие на государственном уровне. И именно Касперский раскрыл, кто его разработал. И это были американские и израильские разведывательные агентства, — заявила в эфире RT бывший сотрудник британской контрразведки MI5 Энни Махон. — После этого обе стороны были на ножах. «Лаборатория Касперского» была на прицеле как американских, так и израильских разведывательных агентств».