Kaspersky Lab,"Shadow Brokers" и "следящее око" Equation Group:высочайший профессионализм против чванства

3 2199

.

Поспешил я вчера с новостью о помощи "Лаборатории Касперского" американскому подразделению Министерства обороны США под аббревиатурой АНБ(National Security Agency,NSA),но уж новость была интересной.

Потом вспомнил,что этот случай был не единственным "облачком" в отношениях "Лаборатории Касперского" и АНБ в предыдущие годы.Более того,у АНБ накопилось изрядное количество обид на российского гиганта в области кибербезопасности.И тянутся эти обиды ещё с 2012 года.

Итак,на основании недоказанных обвинений,власти США,по настоятельной просьбе АНБ,ФБР и при поддержке израильских спецслужб,наложили в феврале 2017 года санкции на деятельность российских профессионалов одной из крупнейших и профессиональных компаний мира в сфере кибербезопасности "Лаборатории Касперского".Более того,несколько лет ФБР расследовала деятельность ЛК держа её сотрудников "под колпаком",пытаясь найти неопровержимые доказательства сотрудничества ЛК не только с российскими разведками,но и крупнейшими международными хакерскими группами,которые,по мнению американских спецслужб,связаны с Кремлём(ну а с кем ещё???).В частности,с "Shadow Brokers",которые доставляли и доставляют АНБ много неприятных хлопот.

Несмотря на то,что в течение долгих лет "Лаборатория Касперского" сотрудничала с правоохранительными и охранными структурами в США,помогая контролировать активность хакеров,отношения компании с правительством начали обостряться примерно начиная с 2012 года.Причиной стало то,что "Лаборатория Касперского" раскрыла сеть шпионских программ АНБ и ранее неизвестное шпионское программное обеспечение в компьютерах пользователей компании.Учитывая,что клиентами компании являются не только государственные органы США,стран Европы,Ближнего Востока,но и крупнейшие компании мира и банки,предъявление претензий профессионалам Касперского за прекрасное выполнение работы является абсолютной "потерей лица" со стороны американских спецслужб.За последние шесть лет компания раскрыла больше шпионских операций осуществляемых США,чем любая другая компания на рынке кибербезопасности,и в свою очередь сама стала мишенью для хакерских атак,поскольку успешно раскрыла не только ряд операций АНБ,но и деятельность спецслужб Израиля,Великобритании и Франции.

Одно из наиболее значительных открытий было сделано в феврале 2015 года,когда компания объявила об обнаружении набора высокотехнологичных шпионских программ,которые в "Лаборатории" назвали инструментами Equation Group(подразделения АНБ,которое занимается операциями по проникновению в сети противника)задолго до того,как "Shadow Brokers" организовали утечку этих инструментов в 2016 году."Лаборатория Касперского" обнаружила эти программы на компьютерах своих клиентов на Ближнем Востоке в 2014 году,а разработанное "Касперским" антивирусное программное обеспечение позже позволило обнаружить их на компьютере в США примерно в 2014 году.В ЛК полагали,что компьютер был заражен шпионской программой Equation Group,но на самом деле это был домашний компьютер сотрудника АНБ по имени Ниа Хоа Пхо,который в нарушение инструкций забрал домой секретные документы и код АНБ в разработке которого он участвовал.Эти инструменты были напрямую связаны с инструментарием Equation Group.Программное обеспечение "Лаборатории Касперского" скачало материалы с компьютера Пхо на серверы компании в рамках стандартной процедуры используемой антивирусами для анализа ранее неизвестного вредоносного кода,что является технологической необходимостью их работы.В ЛК настаивали—как только они поняли,что собранные данные не были вирусами,генеральный директор Евгений Касперский приказал своим сотрудникам уничтожить файлы.Однако тот факт,что эти файлы были скачаны,позволил США обвинить "Лабораторию Касперского" в том,что она представляет собой угрозу безопасности.Это произошло на фоне того,что в это же время,в 2014 году,Израиль смог взломать сети "Касперского",после чего в 2015 году израильтяне негласно сообщили чиновникам США,что обнаружили,что сотрудники российской разведки выкачали с помощью "Касперского" инструменты с компьютера Пхо при содействии или с ведома сотрудников "Лаборатории Касперского" используя ее антивирусное программное обеспечение.Понятно,что подобные заявления израильтян это всего лишь действие направленное на выдавливание мощного конкурента в виде "Лаборатории Касперского" с мирового рынка кибербезопасности.Прежде всего с Ближнего Востока,на котором израильские разведки привыкли до этого "властвовать безраздельно",но в присутствии в этом регионе профессионалов Касперского-становилось для израильских спецслужб проблемой.

Об этих предположениях стало широко известно только в 2017 году,когда анонимные источники сообщили об этом журналистам.Впрочем,никакие доказательства,которые бы подтверждали эти обвинения,никогда не были обнародованы за их полнейшим отсутствием,и никто так и не объяснил,как израильтяне узнали,что скачивание данных не было просто частью стандартных процедур по повышению качества антивирусной защиты.

Примерно в 2015 году ФБР начало расследовать отношения "Лаборатории Касперского" с российским правительством,а к 2016 году бюро призвало компании США в частном порядке прекратить деловые связи с фирмой.Затем в феврале 2017 года,в тот месяц,когда Мартину было предъявлено обвинение,министерство внутренней безопасности(Department of Homeland Security,DHS) США отправило правительственным агентствам секретный отчет,в котором утверждалось,что продаваемое "Лабораторией Касперского" программное обеспечение представляет угрозу для национальной безопасности.И они правы,учитывая результаты работы антивирусников Касперского вскрывающих сверхсекретные программы внедрения и слежения АНБ США.Новости об этом тут же просочились в сми вместе с указанием на то,что ФБР проводит расследование в отношении компании.

Интересно другое,в израильской прессе только в 2018 году мелькнуло несколько сообщений о том,что РАНЕЕ антивирус "Лаборатории Касперского" случайно рассекретил многолетнюю дорогую антитеррористическую разведывательную кампанию США приняв ее за очередную шпионскую угрозу."Касперский" оповестил пользователей об обнаружении масштабной хакерской кампании,которая,возможно,длилась годами(по мнению израильских специалистов)и зацепила множество компьютеров во многих странах Африки и Ближнего Востока,включая:Афганистан,Ирак,Кению,Судан,Сомали,Турцию и Йемен.Угроза под названием "Slingshot",которую вычислил антивирусник ЛК,позволяла предполагаемым злоумышленникам следить за работой компьютерных систем и высасывать нужные данные.В "Лаборатории Касперского" не уточнили кому принадлежит вирус,но описали его как "передовую постоянную угрозу".Позже,источники в американской разведке,как нынешние так и бывшие,сообщили на правах анонимности,что "Slingshot"-масштабная антитеррористическая операция США,якобы нацеленная на Исламское Государство и Аль-Каиду,которая стоила властям много сил и денег.

Но за год до этого,в марте 2017,хакеры из группы "Shadow Brokers"("Теневые брокеры")опубликовали файлы и документы свидетельствующие о том,что АНБ могло получить несанкционированный доступ к сети обмена финансовой информацией между банками SWIFT преимущественно на Ближнем Востоке и в Латинской Америке.Согласно опубликованным ими данным,специалисты АНБ используя некоторые уязвимости в операционных системах Windows Microsoft(кто бы сомневался в "профессионализме" "детишек Гейтса")могли следить за перемещением денег между банками-преимущественно на Ближнем Востоке и в Латинской Америке.В SWIFT(бельгийская компания со штаб-квартирой в Бельгии),естественно,заявили,что у них нет данных "о случаях несанкционированного доступа к сети":"У нас нет данных,которые бы говорили о несанкционированном доступе к нашей системе".Не менее естественно,АНБ США никак не комментировало публикацию данных хакеров из "Shadow Brokers".

Согласно опубликованным хакерами данным,тогда АНБ проникло в системы двух бюро обслуживания SWIFT,в том числе в дубайский офис компании EastNets специализирующейся на БОРЬБЕ с отмыванием денег и оказании финансовых услуг.На вопрос зачем АНБ "ломать" финансовую компанию занимающуюся борьбой с отмыванием денег и финансированием радикальных террористических группировок на Ближнем Востоке и прилегающих регионах,у меня может быть только один ответ:с целью получения информации "не засветила" ли эта компания переводы аффилированных с разведками США лиц и организаций исламистским террористам плодившимся и клонировавшимся в это время на всём пространстве Сирии,Ирака,а также Ближнего Востока и Северной Африки со скоростью работы швейной машинки Зингера.Если это действительно так,то АНБ могло контролировать сделки с участием банков и других финансовых учреждений во многих странах Ближнего Востока.Однако в EastNets также благоразумно отрицали случаи несанкционированного доступа к их сети.

Тем не менее многие эксперты считали,что опубликованные хакерами данные заслуживают доверия.Мустафа Бассам,исследователь из Университетского колледжа Лондона,считал опубликованную хакерами информацию доказательством того,что АНБ "взломало компьютеры большого числа банков,нефтяных и инвестиционных компаний в Палестине,ОАЭ,Кувейте,Катаре,Йемене и других ближневосточных странах".Крис Томас,эксперт по кибербезопасности из Tenable,уверял агентство Reuters,что документы и файлы опубликованные "Shadow Brokers" говорят о том,что АНБ,получив доступ к SWIFT,теоретически могло НЕ ТОЛЬКО СЛЕДИТЬ за финансовыми потоками,но также И ВМЕШИВАТЬСЯ в финансовые транзакции проводимые террористическими группировками(!).Ну а бывший сотрудник АНБ Эдвард Сноуден назвал публикацию данных "Shadow Brokers" "матерью всех бомб".

Но в отношениях между "Лабораторией Касперского" и АНБ "Shadow Brokers",пусть и косвенно,проявились в 2016 году.

Давайте вернёмся к Мартину.

Гарольд Т.Мартин-третий,пойманный исключительно благодаря работе "Касперского" и преподнесённый ими АНБ на "блюдечке с голубой каёмочкой",был арестован 27 августа 2016 года после обыска в его доме.Впоследствии,в феврале 2017 года ему было предъявлено обвинение в 20 случаях несанкционированного и преднамеренного хранения данных о секретах национальной обороны США: за ДВА ДЕСЯТКА ЛЕТ(!!)работы он забрал домой около 50 терабайт данных АНБ и других правительственных учреждений,включая и некоторые передовые хакерские разработки организации."Самое ироничное в данной ситуации заключается в том,что именно люди,которые работали в «Касперском»,и которые УЖЕ БЫЛИ В ПОЛЕ ЗРЕНИЯ РАЗВЕДСООБЩЕСТВА США(!),рассказали ФБР об этой "проблеме""—говорил Стюарт Бейкер,ген.советник АНБ в 1990-х,в настоящее время работающий в компании Steptoe and Johnson.

Дело раскрылось после того,как кто-то использовал анонимную учетную запись Twitter с ником "HAL999999999",чтобы отправить пять загадочных личных сообщений двум сотрудникам "Лаборатории Касперского".Эти сообщения были очень короткими:общение Мартина и сотрудников "Лаборатории Касперского" оборвалось так же внезапно,как и началось.После того,как оба адресата ответили на эти загадочные сообщения,HAL999999999 заблокировал их учетные записи в Twitter не позволяя отправлять дальнейшие сообщения.В первом сообщении,отправленном 13 августа 2016 года,содержалась просьба "договориться о беседе с Евгением"—предположительно,ген.директором "Лаборатории Касперского" Евгением Касперским.В сообщении не указывался повод или тема разговора,но второе сообщение,отправленное сразу после,гласило "предложение действует три недели".Выбор времени отправки сообщений также был не случаен.Оба сообщения пришли всего за 30 минут до того,как группа анонимов известная как "Shadow Brokers" начала размещать в Интернете секретные данные АНБ,объявив аукцион по продаже большого количества украденных данных агентства по цене эквивалентной 1 млн. уе в биткоинах.Сами хакеры из "Shadow Brokers"(которых,само собой,подозревают в связях с российской разведкой)заявляли,что украли материалы у взломанного подразделения АНБ Equation Group.

Сообщения в Twitter,вместе с подсказками,которые обнаружили сотрудники Касперского,связали с аккаунтом в Twitter Мартина и его работой в АНБ США.Согласно данным полученным от анонимных источников,это навело сотрудников ФБР на мысль,что Мартин был связан с "Shadow Brokers"."Лаборатория Касперского" связалась с АНБ и рекомендовала проверить Мартина.ФБР использовало доказательства полученные именно "Касперским",чтобы получить ордер на просмотр учетной записи Мартина в Twitter,а также на обыск в его доме и досмотр имущества в Мэриленде.В прошедшем 27 августа 2016 года обыске в доме Мартина участвовали почти два десятка агентов ФБР и вооруженная группа спецназа,что подчеркивало то,что правительство США сильно беспокоилось о том,с кем еще мог связываться Мартин.В ходе обыска были обнаружены секретные данные в печатном и цифровом форматах,которые Мартин похитил предположительно между 1996 и 2016 годами:материалы,которые по обнародованным правительством США данным включают в себя и некоторые из инструментов Equation Group,которые попали в распоряжение "Shadow Brokers".Осталось неизвестным,передавал ли Мартин секретные инструменты хакерам "Shadow Brokers" или нет,тем более,что хакеры продолжали свою деятельность в Интернете и после ареста Мартина,не принимая во внимание предположения,что он сам и был из "Shadow Brokers".

Мэтт Тайт,бывший специалист по информационной безопасности британского секретного агентства GCHQ(Government Communication Headquarters),считает интересным тот факт,что Мартин хотел передать информацию именно Касперскому:"Почему он выбрал "Лабораторию Касперского",а не,скажем,Sophos или Symantec?Он лучше,чем кто-либо другой знал,что значит признание правительством США «Лаборатории Касперского» враждебной организацией,учитывая их сложные отношения к тому моменту".

Спустя семь месяцев МВБ США издало директиву,запрещающую использование программного обеспечения "Лаборатории Касперского" в силу того,что "российское правительство,независимо от того,действует оно самостоятельно или в сотрудничестве с "Лабораторией Касперского"(!),может использовать доступ,предоставленный продуктами "Лаборатории" для внедрения в федеральные информационные системы и информационные системы,непосредственно влияющие на кибербезопасность США".Так или иначе,но следует обратить внимание на хронологию этих событий:неясно,знал ли Касперский о расследовании ФБР в отношении компании и её сотрудников,или обвинениях со стороны Израиля,когда компания сдала Мартина АНБ в 2016 году.Если бы в компании об этом знали,то они вполне могли бы заподозрить,что сообщение от Мартина было "проверкой на вшивость".

В любом случае,им это не помогло.

На самом деле,санкции США в отношении "Лаборатории Касперского"-это не только действия обозначенные беспокойством в отношении безопасности государства,и даже не политика выдавливания конкурентов с рынка как в случае с Израилем.Это в большей степени признание правительством США системного кризиса внутри своего профессионального разведсообщества.

Роль компании в разоблачении Мартина,в деле,которое считается крупнейшей утечкой секретных материалов в истории США,указывает на то,что собственные государственные системы внутреннего контроля США,равно как и следователи,ничего не смогли сделать для поимки Мартина.

"Мы все думали,что Мартин попался во время очередной усиленной проверки,но вместо этого все выглядит так,как будто его поймали просто потому,что мы идиоты»—честно признался Бейкер,генеральный советник АНБ в 1990-х.

Пётр Толстой: нам плевать на Макрона. Убьём…

Французы в шоке, таким жёстким журналисты его ещё не видели. Впрочем, им не привыкать, в том числе и к реакции своих зрителей. Из раза в раз приглашать в эфир ведущего канала BFMTV и бр...

Почему Собчак пропала с радаров
  • pretty
  • Сегодня 08:29
  • В топе

КВАДРАТУРА   КРУГАЛистаю ленту новостей и думаю: «Чего-то не хватает, что-то в стране изменилось. А что?». И вдруг понял: нет Собчак. Пропала. Еще буквально пару месяцев назад ее фамилия обя...

Шчо вы к нам прысталы?!

- Какие мы вам братьтя, хто вам это сказал?! Мы сами по себе! А вы лизеты й лизэтэ. Вы понимаете, шо мы не хотымо з вамы жыты?! Мы хотим отдильно, без вас, сами по себе!- Понимаем. И по...

Обсудить
  • В России Каспер рулит, будучи забугорным жителем тем более руководителем фирмы я никогда не поставил бы его. тем более я не использую импортные анвири