Это история о том, как шпионы, следили за шпионами, следившими за шпионами: израильские разведчики наблюдали в реальном времени, как провластные российские хакеры отслеживали компьютеры по всему миру на предмет упоминания программ американской разведки.
Основой русского хакинга стал обнаруженный более двух лет назад импровизированный инструмент поиска с глобальным масштабом охвата — антивирусное программное обеспечение российской компании «Лаборатория Касперского», которым пользуется 400 миллионов человек по всему миру, в том числе должностные лица, состоящие на службе около двух десятков американских Правительственных агентств.
Израильские официальные лица, взломавшие сеть Касперского, предупредили Штаты о широком российском вторжении, о котором ранее не было известно, и в прошлом месяце это привело к принятию решения об удалении программного обеспечения Kaspersky с компьютеров, принадлежащих госорганам.
В результате действий русских, засвидетельствованных людьми, бывших в курсе происходящего, были украдены секретные документы у сотрудника Агентства национальной безопасности, который хранил их с нарушением требований безопасности на своем домашнем компьютере, на котором было установлено антивирусное программное обеспечение Касперского. Какие еще из секретов американских агентств стали достоянием российских хакеров, превративших программное обеспечение Касперского в своего рода поиск Google для получения конфиденциальной информации, остается неизвестным.
Как и большинство программ для обеспечения безопасности, продукты Лаборатории Касперского требуют доступа ко всему, что хранится на компьютере, чтобы перелопатить его в поисках вирусов и прочих угроз. Его популярное антивирусное программное обеспечение сканирует подписи вредоносного программного обеспечения или вредоносного ПО, а затем удаляет его перед тем , как отправить отчет в Kaspersky. Для подобных программ это рутинная процедура, и она стала идеальным инструментом для российской разведки в исследовании содержимого компьютеров.
Агентство национальной безопасности и Белый дом отказались комментировать эту статью. Посольство Израиля отказалось от комметариев, и российское посольство также не ответило на просьбы о представлении комментариев.
На прошлой неделе Wall Street Journal сообщил, что российские хакеры украли секретные материалы АНБ у подрядчика, использовавшего программное обеспечение Kaspersky на своем домашнем компьютере. Но роль израильской разведки в выявлении этой уязвимости и использование российскими хакерами программного обеспечения «Касперского» до сих пор не упоминались.
«Лаборатория Касперского» отказалась признать какое-либо соучастие во взломах. «Лаборатория Касперского никогда не помогала и не помогает ни одному из правительств в мире в кибершпионаже», — говорится в заявлении компании, распространенном во вторник. «Лаборатория Касперского» также заявила, что «готова принять любую релевантную и поддающуюся проверке информацию, которая позволила бы компании безотлагательно начать расследование инцидента».
«Лаборатория Касперского» не обнаруживала вторжения Израиля в свои системы вплоть до середины 2015 года, когда один из ее инженеров, тестирующий новый инструмент обнаружения, заметил необычную активность в сети компании. Компания расследовала этот случай и подробно изложила свои выводы в июне 2015 года в открытом отчете .
В докладе не упоминается Израиль как злоумышленник, но отмечено, что нарушение имеет сходство с предыдущей атакой, известной как «Duqu», которую исследователи связали с государствами, ответственными за печально известный Stuxnet. Stuxnet была совместной американо-израильской операцией, в ходе которой бало реализовано успешное проникновение в ядерную установку Ирана «Натанц» и использован вредоносный код для уничтожения пятой части иранских урановых центрифуг в 2010 году.
Касперский сообщил, что злоумышленники использовали тот же алгоритм и тот же код, что и Duqu, но отметил, что во многих отношениях он был еще более сложным. Поэтому исследователи компании назвали новую атаку Duqu 2.0, отметив, что другие жертвы атаки были основными израильскими целями.
Среди целей, обнаруженных Касперским, были гостиницы и конференц-залы, используемые в закрытых заседаниях членов Совета Безопасности Организации Объединенных Наций для обсуждения условий ядерной сделки Ирана — переговоров, из которых Израиль был исключен. Несколько целей были в Соединенных Штатах, которые предположили, что операция была единственной в Израиле, а не совместной американо-израильской операцией, такой как Stuxnet.
Исследователи Касперского отметили, что злоумышленникам удалось заглянуть глубоко в компьютеры компании и уклоняться от обнаружения в течение нескольких месяцев. Следователи позже выяснили, что израильские хакеры внедрили несколько бэкдоров в системы Касперского, используя сложные инструменты для кражи паролей, скриншотов и очистки писем и документов.
Сотрудники израильской разведки сообщили АНБ, что в ходе их взлома Kaspersky были обнаружены доказательства того, что российские правительственные хакеры использовали доступ Касперского для агрессивного сканирования американских программ, классифицированных правительством США, и вывода данных в российские разведывательные системы. По словам осведомленных, они предоставили своим коллегам из НБА убедительные доказательства кремлечской кампании скриншотов и другой документации.
Неясно, были ли в какой-то степени основатель «Лаборатории Касперского» и другие сотрудники компании Евгения В. Касперского в курсе взломов с использованием их продуктов. Технические эксперты говорят, что, по крайней мере теоретически, российские разведчики могли использовать глобальный масштаб использования программного обеспечения Касперского без привлечения само компании. Кроме того, разведчики могли проникнуть в компанию без ведома ее руководителей.
По материалам NYT