Это был случай, когда шпионы следили за шпионами, которые следили за шпионами: израильские разведчики в реальном времени наблюдали как российские хакеры, работающие на государство, прочёсывали компьютеры по всему миру в поисках кодовых названий американских разведывательных программ.

Глобальный взлом, обнаруженный более двух лет назад, стал возможен благодаря импровизированной поисковой утилите – антивирусу российской компании «Лаборатория Касперского», который используют более 400 миллионов человек со всего мира, включая сотрудников пары десятков американских правительственных агентств.

Израильтяне, который взломали собственную сеть Касперского, предупредили США о широком российском вторжении, о котором ранее не сообщалось, что привело только месяц назад к распоряжению об удалении программного обеспечения Касперского с правительственных компьютеров.

Российская операция, описанная множеством людей, которые в курсе происшедшего, известна тем, что в ходе её у сотрудника Агентства национальной безопасности были украдены секретные документы, которые он хранил ненадлежащим образом на домашнем компьютере с установленным антивирусом Касперского. Какие ещё американские секреты могли утянуть российские хакеры из множества агентств, превратив программу Касперского в своего рода «Гугл» для секретных данных, пока неизвестно.

Как и большинство защитного программного обеспечения, продукты «Лаборатории Касперского» требуют доступа ко всей информации, хранимой на компьютере, чтобы проверить её на вирусы или другие опасности. Её популярный антивирус ищет сигнатуры вредоносного кода, затем удаляет или нейтрализует его прежде чем отправить отчёт назад Касперскому. Эта процедура, рутинная для такого вида программ, стала превосходным средством для российской разведки чтобы взломать и просмотреть содержимое компьютеров и скачать всё, что привлекло интерес.

Национальное агентство безопасности и Белый дом отказались комментировать эту тему. Израильское посольство не стало давать комментариев, а российское посольство не ответило на запрос по поводу комментариев.

«Уолл стрит джорнал» сообщила на прошлой неделе, что российские хакеры похитили секретные материалы АНБ у его подрядчика, использовавшего на своём домашнем компьютере программное обеспечение Касперского. Но роль израильской разведки в раскрытии этого взлома и использования российскими хакерами программ Касперского при обширном поиске американских секретов ранее не раскрывалась.

«Лаборатория Касперского» отрицает свою осведомлённость или участие в российском взломе. «Лаборатория Касперского» никогда не помогала и не будет помогать ни одному правительству в мире при кибершпионаже», – сообщила компания в заявлении во вторник. Лаборатория также добавила, что она «делает соответствующие запросы по поводу подтверждённой информации, имеющей отношение к делу, которая позволить компании как можно скорее начать собственное расследование».

Взлом, связанный с Касперским, это только последняя плохая новость о безопасности секретов американских разведчиков. Он не имеет отношения к опустошительной утечке средств взлома АНБ в прошлом году, которую организовала до сих пор не установленная группа, называющая себя «Теневыми брокерами», разместившая в дальнейшем большинство средств в сети. Взлом очевидно не связан с параллельной утечкой хакерских данных ЦРУ с сайта «Викиликс», который регулярно публиковал секретные документы управления от имени пользователя «Vault7».

Годами ходили слухи, что популярный антивирус Касперского мог иметь закладки для российской разведки. Более чем 60 процентов, или 374 миллиона долларов, от годового объёма продаж компании в 633 миллиона долларов, поступает от клиентов в США и Западной Европе. Среди них около двух десятков американских правительственных агентств, включая Госдепартамент, Министерство обороны, Министерство энергетики, Управление юстиции, Казначейство и армия, флот и военно-воздушные силы.

АНБ запрещает своим аналитикам использовать антивирус Касперского в офисе, большей частью потому, что агентство само использовало антивирус для собственных хакерских операций и знает, что подобная техника используется противником.

«Антивирус это превосходная программная закладка, – говорит Блейк Дарш, бывший оператор АНБ и сооснователь фирмы «Эриа 1 секьюрити». – Он предоставляет полный, надёжный и удалённый доступ, который может использоваться для любой цели, от запуска разрушительной атаки до проведения шпионажа в отношение тысяч и даже миллионов пользователей».

13 сентября Управление внутренней безопасности приказало всем федеральным подразделениям прекратить использование продуктов Касперского, дав агентствам 90 дней на удаление программного обеспечения. Исполняющая обязанности секретаря управления Илейн Дьюк сообщила о «рисках для информационной безопасности», представляемых Касперским и сказала, что антивирус и другое программное обеспечение компании «предоставляет широкий доступ к файлам» и «может использоваться киберпреступниками для взлома» федеральных компьютерных систем.

Это распоряжение, которое некоторые официальные лица считают сильно запоздалым, было в больше мере основано на разведданных, добытых при израильском вторжении в корпоративную сеть Касперского в 2014 году. Последовали месяцы дискуссий между официальными представителями разведки, которые включали в себя исследование принципов работы программного обеспечения Касперского и предполагаемых связей компании с Кремлём.

«Риск того, что российское правительство, действуя самостоятельно или сотрудничая с Касперским, – сказало Управление внутренней безопасности в заявлении – может сосредоточиться на доступе, предоставляемом продуктами Касперского к федеральной информации и информационным системам, представляет собой угрозу национальной безопасности».

«Лаборатория Касперского» не раскрывало израильского вторжения до середины 2015 года, когда инженер компании, тестируя новый детектор, заметил необычную активность в сети компании. Компания провела расследование и опубликовала его детали в 2015 году.

Отчёт не называл Израиль инициатором взлома, но в нём отмечалось, что механизм взлома сильно сход с предыдущей атакой, известной как «Дуку», которую исследователи отнесли к государствам, ответственным за печально знаменитое кибероружие «Стакснет». «Стакснет» был совместной американо-израильской операцией, в ходе которой агенты успешно проникли на ядерную станцию «Натанц» и использовали вредоносный код для разрушения пятой части иранских урановых центрифуг в 2010 году.

Касперский сообщил, что нападавшие использовали тот же алгоритм и часть того же кода, как и «Дуку», но отметил, что в остальном атака была усовершенствована. Поэтому аналитики компании назвали атаку «Дуку 2.0», добавив, что другими жертвами атаки были крупные цели в Израиле. Среди них Касперский назвал гостиницы и конференц-залы, используемые для закрытых встреч членов Совета безопасности ООН, ведущих переговоры об условиях иранской ядерной сделки, в которых Израиль не принимал участие. Несколько целей находились в США, что предполагает, что операция проводилась Израилем самостоятельно, а не совместно с США как «Стакснет».

В своём июньском отчёте Касперский заметил, что нападавших в первую очередь интересовала работа компании над государственными атаками, в частности, работа Касперского над «Иквейшен груп», собственное название АНБ в компании, и в рамках кампании «Риджин», другой промышленный термин для хакерского подразделения разведки Соединённого Королевства, Штаба правительственной связи, или ШПС.

Офицеры израильской разведки информировали АНБ, что в ходе их взлома Касперского они добыли доказательства того, что российские хакеры, работающие на правительство, использовали доступ, предоставляемый Касперским, для агрессивного поиска американских секретных правительственных программ и скачивания результатов поиска с последующей передачей их в разведывательные системы. Они предоставили своим коллегам в АНБ твёрдые доказательства кремлёвской кампании в виде снимков экрана и других документов, согласно данным лиц, владеющих информацией.

Неизвестно принимали ли участие, и если да, то в какой степени, основатель компании Евгений Касперский и другие сотрудники фирмы во взломах с использованием своих продуктов. Технические эксперты говорят, что по меньшей мере теоретически российские хакеры из разведки могли использовать широкое распространение продуктов и датчиков Касперского в мире без участия или информирования компании. Другой возможностью могло быть внедрение офицеров российской разведки в компанию без сообщения об этом руководству лаборатории.

Но эксперты по России говорят, что при Путине, бывшем офицере КГБ, организации, к которым российские шпионские агентства обращаются за помощью, могут чувствовать, что у них нет другого выбора, кроме как эту помощь оказать. Отказ может повлечь за собой враждебные действия правительства в отношение бизнеса или его руководителей.

Евгений Касперский, который учился в институте разведки и служил в российском Министерстве обороны, должен иметь мало иллюзий по поводу цены отказа Кремлю.

Стивен Л. Холл, бывший шеф операций ЦРУ в России, сказал, что его подразделение никогда не использовало программное обеспечение Касперского, но другие агентства делали это. В 2013 году, сказал он, представители Касперского «пытались нарушить контроль и убедить американское правительство, что это просто компания, занимающаяся безопасностью». Он на это не купился, сказал Холл. «У меня были самые тёмные подозрения по поводу Касперского, и все, кто работали с Россией или в контрразведке, разделяли эти сомнения», – сказал он.

0

0