ЦРУ маскує свій шкідливий софт під ВО «Касперського»

10 листопада 2017, 16:34 | Технології
фото з InternetUA
Розмір тексту:

WikiLeaks опублікував код хакерського інструменту ЦРУ, за допомогою якого відомство маскувало своє шкідливе ПЗ, призначене для крадіжки даних, під продукцію реальних виробників софту, в тому числі «Лабораторії Касперського».

публікація WikiLeaks.

Шкідливе ПО, за допомогою якого Центральне розвідувальне управління (ЦРУ) США извлекало інформацію з чужих комп'ютерів, маскувався під продукцію «Лабораторії Касперського». Маскування здійснював спеціальний інструмент під назвою Hive, вихідний код якого був тільки що оприлюднений ресурсом WikiLeaks в рамках проекту Vault 8.

Навіть якщо власник стороннього комп'ютера виявляв, що на його пристрої працює імплант - шкідливе ПО, яке видобуває інформацію - завдяки Hive користувач ніяк не міг зв'язати його роботу з ЦРУ. Коли власник комп'ютера перевіряв, на які сервера в інтернеті імплант передає інформацію, Hive маскував зв'язок ПО з серверами відомства. По суті, інструмент являє собою приховану комунікаційну платформу для шкідливого ПО ЦРУ, через яку воно відсилає в управління здобуті дані і отримує нові інструкції, пише WikiLeaks.

При цьому, коли шкідливе ПО проходить аутентифікацію в системі серверів ЦРУ, генеруються цифрові сертифікати, які імітують приналежність ПО реально існуючим виробникам. Три зразки, присутніх в опублікованому WikiLeaks вихідному коді, підробляють сертифікати «Лабораторії Касперського» з Москви, нібито підписані довіреною сертифікатом Thawte Premium Server в Кейптауні. Якщо користувач, який знайшов імплант, намагається зрозуміти, куди йде трафік з його мережі, він подумає нема на ЦРУ, а на зазначеного виробника ПО.

«Лабораторія» відреагувала на публікацію WikiLeaks наступним коментарем: «Ми вивчили заяви, які були опубліковані 9 листопада в звіті Vault 8, і можемо підтвердити, що сертифікати, що імітують наші, є несправжніми. Ключі, сервіси та клієнти «Лабораторії Касперського» знаходяться в безпеці і не були порушені ».

система серверів.

Hive виконує ряд операцій за допомогою імплантів, що діють на комп'ютері, причому кожна операція реєструється в необразливо дивлячому домені-прикритті. Сервер, на якому знаходиться домен, орендується у провайдерів комерційного хостингу на правах віртуального приватного сервера (VPS). Його софт кастомизировать під специфікації ЦРУ. Ці сервера є публічний фасад серверної системи ЦРУ, а далі вони передають HTTP (S) -трафік через віртуальну приватну мережу (VPN) на прихований сервер під назвою Blot.

Якщо хтось заходить на домен-прикриття, він показує відвідувачеві цілком невинну інформацію. Єдиним насторожує відмінністю є нечасто використовувана опція HTTPS-сервера під назвою Optional Client Authentication. Завдяки їй від користувача, що переглядає домен, не потрібно аутентифікація - вона не обов'язкова. А ось імплант, зв'язавшись з сервером, проходить її обов'язково, щоб його зміг засікти сервер Blot.

Трафік від імплантатів відправляється на шлюз управління оператором імпланта під назвою Honeycomb, а весь інший трафік йде на сервер-прикриття, який поставляє нешкідливий контент, доступний для всіх користувачів. У процесі аутентифікації імпланта генерується цифровий сертифікат, який і імітує приналежність ПО реально існуючим виробникам.

Проблеми «Лабораторії» в США.

Публікація WikiLeaks з'явилася на тлі загострення конфлікту «Лабораторії» з американським урядом. Конфлікт почався ще в 2016 р. , Коли Федеральне бюро розслідувань (ФБР) висловило ряд побоювань щодо продукції компанії представникам індустрії, в тому числі Координаційній раді підсектори електрики - організації, до якої входять глави енергетичних компанії Північної Америки. У відповідь на це в лютому 2017 р. Міністерство внутрішньої безпеки США направило американським спецслужбам секретну доповідь, що стосується «Лабораторії».

У квітні 2017 р. стурбованість можливою загрозою, що виходить від «Лабораторії», була висловлена ??в секретному меморандумі, який був направлений директору Національної розвідки Дену Коутс (Dan Coats) і генеральному прокурору Джеффу Сешнс (Jeff Sessions). Документ був підготовлений Комітетом з розвідки Сенату США. Комітет переконливо просив вжити заходів у зв'язку з потенційним ризиком, який несе в собі широка поширеність продуктів «Лабораторії» на американському ринку.

У зв'язку з цим Євген Касперський висловив готовність виступити перед Сенатом США і відповісти на будь-які його питання. Також «Лабораторія» заявила про готовність розкрити американській владі вихідні коди свого ПО з метою позбутися від звинувачень в кібершпіонажу.

Розслідування ФБР і його наслідки.

У червні стало відомо, що ФБР провело бесіди з рядом співробітників американського представництва «Лабораторії». Опитано було як мінімум 12 осіб в різних місцях. ФБР цікавилося подробицями роботи «Лабораторії Касперського» і тим, якою мірою американське представництво компанії звітує перед головним офісом в Москві.

У липні адміністрація президента США виключила «Лабораторію» з двох списків постачальників високотехнологічного обладнання для державних потреб. Йдеться про двох списках Управління служб загального призначення США (U. General Services Administration, GSA), яка сертифікує постачальників і вносить їх в базу даних компаній: послуги в області інформаційних технологій і поставки фототехніки. Списки були змінені з міркувань «безпеки уряду і мережі».

загострення конфлікту.

У вересні стало відомо, що американська влада розпорядилася видалити рішення «Лабораторії Касперського» з мереж держорганів США. На це відомствам відведено 90 днів. Пентагону наказ не стосується, але він і так не користується продукцією російської компанії.

У жовтні ряд великих американських ЗМІ написав, що продукція «Лабораторії» була використана для крадіжки даних про державну обороні США у Агентства національної безпеки (АНБ).

За даними The Wall Street Journal, дані знаходилися на домашньому ПК підрядника АНБ, де було встановлено ПО російської компанії.

Незабаром після цього New York Times повідомила, що інформація про інцидент з АНБ була отримана американцями від ізраїльських спецслужб, які змогли проникнути в мережі «Лабораторії» - імовірно, за допомогою інструменту «Дуку-2». У жовтні Євген Касперський визнав факт завантаження на сервера своєї компанії секретної інформації АНБ. Однак це завантаження сталася випадково, і засекречена інформація відразу ж була видалена, пояснив він.




Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь