«Лаборатория Касперского»: компьютер работника АНБ мог взломать любой хакер
Доступ к информации на домашнем компьютере сотрудника АНБ мог получить неограниченный круг лиц, сообщает «Лаборатория Касперского» в четверг по результатам своего расследования.
«Лаборатория Касперского» завершила внутреннее расследование инцидента, связанного с заявлениями ряда СМИ о том, что ПО компании якобы использовалось для поиска и скачивания засекреченной информации с домашнего компьютера сотрудника АНБ США. Отчет подтверждает предварительные выводы, которые «Лаборатория Касперского» обнародовала 25 октября. Однако в нем есть и новые факты. Например, анализ телеметрии показал, что удаленный доступ к устройству, о котором идет речь, могло иметь неизвестное количество третьих лиц», — говорится в сообщении.
Одним из главных предварительных выводов стало то, что компьютер пользователя был заражен бэкдором Mokes, который позволяет злоумышленникам получить доступ к устройству. Mokes (также известный как Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных андеграундных форумах в 2011 году. Исследование компании показало, что в период с сентября по ноябрь 2014 года управляющие серверы этой программы были зарегистрированы на, предположительно, китайскую организацию под названием Zhou Lou.
Анализ телеметрии показал, что Mokes мог быть не единственным зловредом, заразившим компьютер в период инцидента. За два месяца защитное решение «Лаборатории Касперского», установленное на компьютере, сообщило о 121 образце вредоносного ПО, не относящемся к Equation.
Среди них были бэкдоры, эксплойты, троянцы и рекламные программы. Учитывая ограниченное количество доступной телеметрии (решение «Лаборатории Касперского» периодически отключалось пользователем), нельзя однозначно сказать, запускались ли обнаруженные вредоносы в период, относящийся к инциденту. Эксперты «Лаборатории Касперского» продолжают изучать этот вопрос.
Ранее газеты New York Times и Washington Post со ссылкой на источники писали, что запрет на использование продуктов «Лаборатории Касперского» основывался на информации, которую спецслужбы США получили от израильских коллег. По их утверждению, в 2015 году израильские спецслужбы обнаружили на компьютерах компании некие хакерские инструменты, предположительно, похищенные российскими правительственными службами у АНБ США. Источники говорят, что в результате «российской операции» у сотрудника АНБ украдены секретные документы, которые тот по недосмотру хранил на домашнем компьютере, где был установлен антивирус российской компании. При этом источники допускают, что в руки «российских хакеров» могли попасть и другие секретные данные правительства США.
Генерирование фальшивого сертификата — стандартный прием, используемый хакерами при взломе защищенных компьютеров, отмечает специалист по сетевой безопасности, владелец частной компьютерной фирмы Михаил Годов. В том числе обычно он применяется при атаках на серверы банков. Именно такими воровскими методами оперирует и американская разведка. Однако для того, чтобы сгенерировать не просто произвольный сертификат, а сымитировать подтверждение какого-то реального разработчика программ, необходимо обладать дополнительной информацией — знать уникальный алгоритм шифрования, который использует конкретный разработчик.
«Теоретически можно подобрать алгоритм шифрования, но это очень кропотливая, долгая и высокопрофессиональная работа. Потому я не исключаю, что эти сведения у «Лаборатории Касперского» могли просто похитить», — говорит Михаил Годов.
Создатель лаборатории Евгений Касперский подтвердил, что упомянутые ссылки на его компанию действительно являются сфабрикованными. При этом он по-прежнему гарантирует клиентам безопасность. «Мы изучили данные Vault 8 и подтверждаем, что выданные от нашего имени сертификаты поддельные. Наши клиенты, приватные ключи и сервисы не затронуты», — написал он в своем Twitter.
Агентство национальной безопасности США переживает кризис после кражи хакерами в 2016 году вредоносных программ, которые спецслужба использовала для проникновения в устройства и сети по всему миру, пишет газета New York Times.
Группа хакеров Shadow Brokers опубликовала программный код программ, похищенных у АНБ. Он затем использовался для создания вирусов, которые нанесли большой ущерб компьютерам во всем мире. АНБ официально не комментирует ситуацию, однако New York Times считает доказанным то, что похищенное кибероружие принадлежит спецслужбе. Это подтвердили изданию бывшие и нынешние сотрудники Агентства нацбезопасности.
По их словам, действия Shadow Brokers имели «катастрофические последствия для АНБ»: его способность защитить мощное кибероружие, а также ценность спецслужбы для национальной безопасности были поставлены под вопрос. «Агентство, которое считается мировым лидером во взломе компьютерных сетей противников, не смогло защитить собственные сети», — пишет газета.
Издание отмечает, что кража документов сравнима с «землетрясением, которое потрясло АНБ до основания». Предполагается, что ущерб от Shadow Brokers может быть гораздо больше того, что нанес экс-сотрудник ЦРУ и АНБ Эдвард Сноуден. Он раскрыл название программ массовой слежки, а хакеры выложили код программ и тем самым позволили использовать их третьим лицам.
По данным New York Times, американские спецслужбы не могут даже определить, каким образом произошла утечка и замешан ли в этом кто-то из сотрудников. Идут масштабные проверки. «В штаб-квартире агентства в Мэриленде и в отделениях по всей стране сотрудников АНБ заставляют пройти тесты на детекторе лжи и отстраняют от работы<…>. Моральный настрой упал, опытные специалисты уходят из агентства на работу, которая лучше оплачивается, в том числе в фирмы, которые защищают компьютерные сети от вторжений с использованием инструментов АНБ», — пишет газета. С 2015 года троих сотрудников арестовали за кражу данных, но неясно, стала ли ситуация в АНБ лучше, отмечает издание.
Нашли ошибку? Выделите фрагмент и нажмите Ctrl+Enter!
- 0 КОММЕНТАРИЕВ
- ОСТАВИТЬ КОММЕНТАРИЙ