МАТЕРИАЛИ

САЩ и Великобритания компрометират чужди компании за антивирусен софтуер



Електронното издание The Intercept публикува поредната информация от секретните документи на Едуард Сноудън, разкриваща съвместна на американските и британските тайни служби програма „CAMBERDADA“ за шпиониране и компрометиране работата на чужди антивирусни компании. Списъкът на засегнатите антивирусни компании (всичките базирани извън САЩ и Великобритания) става публично достояние благодарение на слайд от презентация за вътрешно ползване в американската Агенция за национална сигурност (АНСNSA), където са посочени подложените на „мониторинг“ технологични компании.

От публикуваните материали става ясно, че американските NSA и британските GCHQ са прихващали и обработвали електронните доклади на потребители до антивирусните компании, в които ги предупреждават за появата на нови форми на зловреден софтуер. Специален отдел в NSA с наименованието „Операции за приспособен достъп“ (Tailored Access Operations – TAO), известно още като „Офанзивна единица по сигурността“ (Offensive security unit), е работил по профилирането на различните видове рискове за компютърната сигурност с цел заобикалянето от страна на NSA на монтирания в съответната система антивирусен софтуер.

Използвали са още методи на обратното инженерство (Reverse engineering), за да изследват подробно кода на атакувания от тях антивирусен софтуер и да търсят уязвимости в него. Целта е била да се преодолеят защитите, предоставяни от тези продукти, за да се осигури по-лесно проникване в набелязаните системи. Особен интерес поради специфичната им партньорска и клиентска база представлявали продуктите на KasperskyLab. Компанията е известна със сериозните си и задълбочени разследвания на мащабни правителствени операции, насочени срещу сигурността в internet – като например Gauss, Duqu, Red October, Energetic Bear и много други – на които специалистите от „Касперски“ обръщат сериозно внимание и популяризират в общественото пространство чрез своите доклади за „задълбочени и устойчиви заплахи“ (Advanced Persistent Threat – APT). Именно благодарение на антивирусна компания (белоруската VirusBlokadaVBA32) изобщо беше разкрито и документирано „първото документирано кибероръжие в света“ (атаката Stuxnet). Тогава разработчиците са пропуснали да включат малко известната белоруска компания в защитния код на своя зловреден софтуер и той беше разкрит, а последващ анализ на компаниите KasperskyLab и Symantec установи и източника на този софтуер – специалните служби на САЩ и Израел.

Може би тъкмо заради горното разкритие срещу KasperskyLab беше насочена тази пролет тъкмо такава високопрофилна атака – изразяваща се в опит за проникване в иновативните продукти и процеси на компанията, антималуер решенията и разработваната от нея корпоративна операционна система. За целта е използван експлойт тип „нулев ден“, а зловредният софтуер е подписан с откраднат цифров сертификат от тайванската технологична компания Foxconn. Атаката е наречена Duqu 2.0 (по името на разкрита от страна на Технологичния университет в Будапеща високопрофилна атака преди 4 години, свързана със Stuxnet). Видно от кода на атакуващия софтуер, атаката е инициирана от авторите на Stuxnet или някой, който е получил кода на този зловреден софтуер. Мащабът на атаката подсказва, че зад нея стои правителствен ресурс, който не е по силите на отделни корпорации или престъпни групи. „Разработката и провеждането на една толкова професионална атака е извънредно скъпо и изисква отделянето на ресурси, които са далеч от възможностите на всекидневните киберпрестъпници. Цената за развитието и поддържането на една зловредна инфраструктура от подобен мащаб е колосална: според наши изчисления става дума за сума от порядъка на $50 млн.“ – споделят експерти от KasperskyLab в своя технически доклад за Duqu 2.0.

Сред засегнатите компании за софтуерна и internet-сигурност, които са идентифицирани като цел на програмата „CAMBERDADA“, разпознаваме австрийските EmsiSoft и Ikarus, германската Avira, израелските Checkpoint и eAladdin, индийската k7computing, исландската F-port, италианските Novirusthanks и Viritpro, китайската Antiy, корейските Hauri и AhnLab, норвежката Norman, полската Arcabit, руските KasperskyLab и DrWeb, румънската BitDefender, словашките Nod32, ESET и Spy-Emergency, финландската F-Secure, френската FSB-Antivirus, чешките AVG и Avast. Извън списъка на засегнатите остават американските Symantec и McAfee, и британската Sophos – което поражда сериозни съмнения за това дали тези компании не оказват цялостно доброволно съдействие на специалните служби. Запитани за становище по темата, трите незасегнати отказват да дадат такова, като McAfee дори не си прави труда да върне отговор на полученото запитване.

Цитираните разкрития едновременно демонстрират мащаба на заплахите в internet и отделяните за тяхното организиране ресурси, и показват новата роля, която антивирусните компании ще трябва да заемат в този контекст. Във връзка с горното представител на ESET заявява:
Всички ние от индустрията, оперираща на полето на информационната сигурност, се обединяваме и се изправяме срещу всяко усилие да бъдат отслабени защитните механизми на нашите продукти.“ Развиването на подобни кибер-оръжия от ново поколение заплашва изобщо възможността internet да продължи да осъществява своите функции. Срещу такава заплаха не може да бъде противопоставено нищо друго, освен повсеместно консолидиране и дисциплина в отстояването на свободата и неприкосновеността.

 
back to top