ЦРУ маскирует свой вредоносный софт под ПО «Касперского»

Публикация WikiLeaks Вредоносное ПО, с помощью которого Центральное разведывательное управление (ЦРУ) США извлекало информацию из чужих компьютеров, маскировалось под продукцию «Лаборатории Касперского». Маскировку осуществлял специальный инструмент под названием Hive, исходный код которого был только что обнародован ресурсом WikiLeaks в рамках проекта Vault 8. Даже если владелец постороннего компьютера обнаруживал, что на его устройстве работает имплант — вредоносное ПО, добывающее информацию — благодаря Hive пользователь никак не мог связать его работу с ЦРУ. Когда владелец компьютера проверял, на какие сервера в интернете имплант передает информацию, Hive маскировал связь ПО с серверами ведомства. По сути, инструмент представляет собою скрытую коммуникационную платформу для вредоносного ПО ЦРУ, через которую оно отсылает в управление добытые данные и получает новые инструкции, пишет WikiLeaks. При этом, когда вредоносное ПО проходит аутентификацию в системе серверов ЦРУ, генерируются цифровые сертификаты, которые имитируют принадлежность ПО реально существующим производителям. Три образца, присутствующих в опубликованном WikiLeaks исходном коде, подделывают сертификаты «Лаборатории Касперского» из Москвы, якобы подписанные доверенным сертификатом Thawte Premium Server в Кейптауне. Если пользователь, обнаруживший имплант, пытается понять, куда идет трафик из его сети, он подумает не на ЦРУ, а на указанного производителя ПО. http://filearchive.cnews.ru/img/news/2017/05/12/kasp600.jpg"> Глава «Лаборатории Касперского» Евгений Касперский «Лаборатория» отреагировала на публикацию WikiLeaks следующим комментарием: «Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими. Ключи, сервисы и клиенты «Лаборатории Касперского» находятся в безопасности и не были затронуты». Система серверов Hive выполняет ряд операций с помощью имплантов, действующих на компьютере, причем каждая операция регистрируется в безобидно выглядящем домене-прикрытии. Сервер, на котором находится домен, арендуется у провайдеров коммерческого хостинга на правах виртуального частного сервера (VPS). Его софт кастомизирован под спецификации ЦРУ. Эти сервера представляют собой публичный фасад серверной системы ЦРУ, а далее они передают HTTP(S)-трафик через виртуальную частную сеть (VPN) на скрытый сервер под названием Blot. Если кто-то заходит на домен-прикрытие, он показывает посетителю вполне невинную информацию. Единственным настораживающим отличием является нечасто используемая опция HTTPS-сервера под названием Optional Client Authentication. Благодаря ей от пользователя, просматривающего домен, не требуется аутентификация — она не обязательна. А вот имплант, связавшись с сервером, проходит ее обязательно, чтобы его смог засечь сервер Blot. Трафик от имплантатов отправляется на шлюз управления оператором импланта под названием Honeycomb, а весь другой трафик идет на сервер-прикрытие, который поставляет безобидный контент, доступный для всех пользователей. В процессе аутентификации импланта генерируется цифровой сертификат, который и имитирует принадлежность ПО реально существующим производителям. Проблемы «Лаборатории» в США Публикация WikiLeaks появилась на фоне обострения конфликта «Лаборатории» с американским правительством. Конфликт начался еще в 2016 г., когда Федеральное бюро расследований (ФБР) высказало ряд опасений насчет продукции компании представителям индустрии, в том числе Координационному совету подсектора электричества – организации, в которую входят главы энергетических компании Северной Америки. В ответ на это в феврале 2017 г. Министерство внутренней безопасности США направило американским спецслужбам секретный доклад, касающийся «Лаборатории». В апреле 2017 г. обеспокоенность возможной угрозой, исходящей от «Лаборатории», [url=http://www.cnews.ru/news/top/2017-05-12_evgenij_kasperskij_gotov_svidetelstvovat_pered]выразил[/url] готовность выступить перед Сенатом США и ответить на любые его вопросы. Также «Лаборатория» [url=http://safe.cnews.ru/news/top/2017-05-25_kasperskij_gotov_predostavit_kody_svoih_produktov]заявила[/url] о готовности раскрыть американским властям исходные коды своего ПО с целью избавиться от обвинений в кибершпионаже. Расследование ФБР и его последствия В июне [url=http://gov.cnews.ru/news/top/2017-06-28_fbr_doprosila_sotrudnikov_laboratorii_kasperskogo]стало известно[/url], что ФБР провело беседы с рядом сотрудников американского представительства «Лаборатории». Опрошено было как минимум 12 человек в различных местах. ФБР интересовалось подробностями работы «Лаборатории Касперского» и тем, в какой степени американское представительство компании отчитывается перед головным офисом в Москве. В июле администрация президента США [url=http://safe.cnews.ru/news/top/2017-07-12_tramp_zapretil_po_kasperskogo_v_gosorganah]исключила[/url] «Лабораторию» из двух списков поставщиков высокотехнологичного оборудования для государственных нужд. Речь идет о двух списках Управления служб общего назначения США (U.S. General Services Administration, GSA), которое сертифицирует поставщиков и вносит их в базу данных компаний: услуги в области информационных технологий и поставки фототехники. Списки были изменены по соображениям «безопасности правительства и сети». Обострение конфликта В сентябре [url=http://safe.cnews.ru/news/top/2017-09-14_tramp_prikazal_udalit_po_kasperskogo_iz_gosorganov]стало известно[/url], что американские власти распорядились удалить решения «Лаборатории Касперского» из сетей госорганов США. На это ведомствам отведено 90 дней. Пентагона приказ не касается, но он и так не пользуется продукцией российской компании. В октябре ряд крупных американских СМИ написал, что продукция «Лаборатории» была использована для кражи данных о государственной обороне США у Агентства национальной безопасности (АНБ). По данным The Wall Street Journal, данные находились на домашнем ПК подрядчика АНБ, где было установлено ПО российской компании. Вскоре после этого New York Times сообщила, что информация об инциденте с АНБ была получена американцами от израильских спецслужб, которые смогли проникнуть в сети «Лаборатории» — предположительно, с помощью инструмента «Дуку-2». В октябре Евгений Касперский [url=http://safe.cnews.ru/news/top/2017-10-25_kasperskij_rasskazalkak_sluchajno_skachal_sekretnye]признал[/url] факт загрузки на сервера своей компании секретной информации АНБ. Однако это загрузка произошла случайно, и засекреченная информация сразу же была удалена, пояснил он. [url=http://www.cnews.ru/news/top/2017-11-10_tsru_maskirovalo_svoi_implanty_pod_po_kasperskogo] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/news/2017/05/12/kasp600.jpg"> Глава «Лаборатории Касперского» Евгений Касперский «Лаборатория» отреагировала на публикацию WikiLeaks следующим комментарием: «Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими. Ключи, сервисы и клиенты «Лаборатории Касперского» находятся в безопасности и не были затронуты». Система серверов Hive выполняет ряд операций с помощью имплантов, действующих на компьютере, причем каждая операция регистрируется в безобидно выглядящем домене-прикрытии. Сервер, на котором находится домен, арендуется у провайдеров коммерческого хостинга на правах виртуального частного сервера (VPS). Его софт кастомизирован под спецификации ЦРУ. Эти сервера представляют собой публичный фасад серверной системы ЦРУ, а далее они передают HTTP(S)-трафик через виртуальную частную сеть (VPN) на скрытый сервер под названием Blot. Если кто-то заходит на домен-прикрытие, он показывает посетителю вполне невинную информацию. Единственным настораживающим отличием является нечасто используемая опция HTTPS-сервера под названием Optional Client Authentication. Благодаря ей от пользователя, просматривающего домен, не требуется аутентификация — она не обязательна. А вот имплант, связавшись с сервером, проходит ее обязательно, чтобы его смог засечь сервер Blot. Трафик от имплантатов отправляется на шлюз управления оператором импланта под названием Honeycomb, а весь другой трафик идет на сервер-прикрытие, который поставляет безобидный контент, доступный для всех пользователей. В процессе аутентификации импланта генерируется цифровой сертификат, который и имитирует принадлежность ПО реально существующим производителям. Проблемы «Лаборатории» в США Публикация WikiLeaks появилась на фоне обострения конфликта «Лаборатории» с американским правительством. Конфликт начался еще в 2016 г., когда Федеральное бюро расследований (ФБР) высказало ряд опасений насчет продукции компании представителям индустрии, в том числе Координационному совету подсектора электричества – организации, в которую входят главы энергетических компании Северной Америки. В ответ на это в феврале 2017 г. Министерство внутренней безопасности США направило американским спецслужбам секретный доклад, касающийся «Лаборатории». В апреле 2017 г. обеспокоенность возможной угрозой, исходящей от «Лаборатории», выразил готовность выступить перед Сенатом США и ответить на любые его вопросы. Также «Лаборатория» заявила о готовности раскрыть американским властям исходные коды своего ПО с целью избавиться от обвинений в кибершпионаже. Расследование ФБР и его последствия В июне стало известно , что ФБР провело беседы с рядом сотрудников американского представительства «Лаборатории». Опрошено было как минимум 12 человек в различных местах. ФБР интересовалось подробностями работы «Лаборатории Касперского» и тем, в какой степени американское представительство компании отчитывается перед головным офисом в Москве. В июле администрация президента США исключила «Лабораторию» из двух списков поставщиков высокотехнологичного оборудования для государственных нужд. Речь идет о двух списках Управления служб общего назначения США (U.S. General Services Administration, GSA), которое сертифицирует поставщиков и вносит их в базу данных компаний: услуги в области информационных технологий и поставки фототехники. Списки были изменены по соображениям «безопасности правительства и сети». Обострение конфликта В сентябре стало известно , что американские власти распорядились удалить решения «Лаборатории Касперского» из сетей госорганов США. На это ведомствам отведено 90 дней. Пентагона приказ не касается, но он и так не пользуется продукцией российской компании. В октябре ряд крупных американских СМИ написал, что продукция «Лаборатории» была использована для кражи данных о государственной обороне США у Агентства национальной безопасности (АНБ). По данным The Wall Street Journal, данные находились на домашнем ПК подрядчика АНБ, где было установлено ПО российской компании. Вскоре после этого New York Times сообщила, что информация об инциденте с АНБ была получена американцами от израильских спецслужб, которые смогли проникнуть в сети «Лаборатории» — предположительно, с помощью инструмента «Дуку-2». В октябре Евгений Касперский признал факт загрузки на сервера своей компании секретной информации АНБ. Однако это загрузка произошла случайно, и засекреченная информация сразу же была удалена, пояснил он. Ссылка на источник