Kaspersky

Краят на миналата година беше белязан от шпионския скандал между Вашингтон и Москва, в който американската страна обвини руските тайни служби, че са използвали антивирусния софтуер на Kaspersky Lab да откраднат класифицирана информация от домашната система на служител на Агенцията за национална сигурност на САЩ (АНС). Според медийни публикации и изказвания на официални американски представители, руската антивирусна компания работи в тясно сътрудничество с руските разузнавателни служби, а програмите на Kaspersky действат като троянски кон. Това доведе до решението на американския президент Доналд Тръмп да наложи забрана за използването на продуктите на Kaspersky във федерални учреждения. Самите Kaspersky Lab отрекоха категорично обвиненията, като самият Евгений Касперски, създател и шеф на компанията се намеси. Kaspersky даже заведоха дело към американските служби, заради това, че въпреки че изразиха готовност да открият кода на програмите си и да се защитят, не им беше позволено, а въпросните обвинения са накърнили пряко имиджа и печалбите на компанията.

Дали Kaspersky са действали в сътрудничество с руските тайни служби, били са хакнати или нещо друго се е случило или не, вероятно никога няма да разберем със сигурност. Разработчик по информационна сигурност и бивш служител на АНС наскоро обаче демонстрира как може да бъде хакната програма на компанията, така че да засече и извлече секретна информация от системата.

„В битката със зловредния код, антивирусните продукти са от ключово значение“, споделя пред „Ню Йорк Таймз“ Патрик Уодъл от Digita Security, автор на експеримента. „Но колкото и иронично да звучи, тези продукти споделят много от характеристиките на сложните кибершшпионски инструменти, които търсят да засекат“. Уодъл пише и на страниците на блога си, че той е искал да провери дали този тип атака е надежден метод за компрометиране на важна информация. „Намерението ми не е да се меся в сложни обвинения. Но от техническа гледна точка, ако антивирусен производител иска, принуден е или е хакнат по някакъв начин, възможно ли е да създаде сигнатура, за да маркира класифицирани документи?“. Уодъл използва реверсивно инженерство, за да изследва именно тази възможност.

Макар и изключително сложен, кода на продуктите на компанията се оказва много лесно обновяван. Той успява да пресече и анализира механизма на обновяване, след което добавя своя собствена сигнатура. Уодъл обяснява, че повечето специалисти в разузнаването поставят гриф на засекретените документи, с които работят, TS/SCI (Top Secret/Sensitive Compartmented Information), след което прави така че програмата да засича като зловреден файл всеки, носещ маркера TS/SCI. За целта, той взема документ от своята библиотека, в случая копие на „Мечо Пух“ и добавя споменатия маркер. В момента, в който запазва документа с промените, програмата го засича като зловреден, а по процедура на Kaspersky, скоро след това бива изпратен към сървърите на компанията за допълнителен анализ. От руската компания се запознават с проучването на Уодъл, но са убедени, че демонстрацията е некоректна, тъй като обновления на дефинициите биват доставяни до всички, а не до определен потребител, като те носят цифровия подпис на Kaspersky, което допълнително опровергава валидността на експеримента.