Без обид: как «Лаборатория Касперского» разоблачила шпиона в АНБ США

© AP Photo / Andrew HarnikПолицейский на территории Агентства национальной безопасности СШАБез обид: как "Лаборатория Касперского" разоблачила шпиона в АНБ США

Максим Рубченко. Бывший подрядчик Агентства национальной безопасности США Гарольд Мартин заключил с американским правосудием сделку, признав вину в хищении секретных документов из штаб-квартиры агентства. При этом собственные системы безопасности АНБ не заметили пропажи 50 терабайт сверхсекретных данных. Разоблачить «крота» американцам удалось только благодаря помощи «Лаборатории Касперского» — компании, которую Вашингтон обвиняет в сотрудничестве с российской разведкой. О том, как разворачивались события, — в материале РИА Новости.

Друг по переписке

Тринадцатого августа 2016 года один из сотрудников московской «Лаборатории Касперского» получил в Twitter странное сообщение от незнакомого пользователя с никнеймом HAL999999999, который попросил организовать беседу с владельцем и главой компании Евгением Касперским. В профиле пользователя была фотография компакт-диска с надписью «Операции индивидуального доступа АНБ». Следом прилетело второе сообщение: «Срок действия предложения — три недели».

Буквально через полчаса хакерская группа Shadow Brokers разместила в интернете объявление о продаже секретных материалов, украденных у Equation Group — подразделения АНБ, занимающегося разработкой программного обеспечения для ведения компьютерных войн.

Предположив, что между посланием от HAL999999999 и сообщением Shadow Brokers есть связь, сотрудники «Касперского» решили собрать побольше информации об авторе подозрительных посланий.

Вскоре он был обнаружен на американском сайте, где ищут партнеров поклонники садомазохизма. Никнейм принадлежал мужчине, проживающему в Аннаполисе, штат Мэриленд. Судя по фотографии, ему было около 50 лет.

Дальнейший поиск привел российских аналитиков в соцсеть LinkedIn к профилю Гарольда Мартина, который представлялся как «технический консультант Министерства обороны и разведывательного сообщества по наступательным кибероперациям».

Двадцать второго августа сотрудник «Лаборатории Касперского» обратился к служащему АНБ, с которым недавно познакомился на международной конференции по кибербезопасности, и отправил ему всю информацию о незнакомце из Twitter с пометкой: «Предполагаю, вас это может заинтересовать».

Аккаунт Hal999999999 в социальной сети TwitterБез обид: как "Лаборатория Касперского" разоблачила шпиона в АНБ СШААккаунт Hal999999999 в социальной сети Twitter

Через два дня объединенный отряд из двадцати агентов ФБР и группы спецназа ворвался в дом Гарольда Мартина, сотрудника компании Booz Allen Hamilton, входящей в число крупнейших подрядчиков АНБ и Пентагона (в этой же компании в свое время работал Эдвард Сноуден).

В ходе обыска у Мартина обнаружили множество секретных документов АНБ. «Приходится признать, что его поймали не потому, что в АНБ имеется эффективная система безопасности, а потому, что он оказался идиотом, — отметил в комментарии журналу Politico бывший высокопоставленный сотрудник Агентства национальной безопасности США Стюарт Бейкер. — Ирония заключается в том, что именно «Лаборатория Касперского», которую разведывательное сообщество США считает своим противником, раскрыла американцам глаза на эту проблему».

Журналисты западных СМИ задаются вопросом, почему Мартин решил предложить украденные материалы именно «Лаборатории Касперского». Они с сожалением констатируют, что ответ на этот вопрос можно было бы получить в ходе судебных слушаний. Но теперь, когда Мартин заключил сделку со следствием, его мотивы навсегда останутся тайной.

На самом деле все просто: именно «Лаборатория Касперского» рассказала миру об Equation Group. Что и стало главной причиной ненависти к компании со стороны властей США.

Как Касперский нашел «Звезду смерти»

Одиннадцатого сентября 2014 года гражданин США вьетнамского происхождения Нгиа Хоанг Фо, проживающий в Балтиморе (примерно в 30 километрах от штаб-квартиры АНБ в Форт-Миде), решил скачать пиратскую программу — генератор ключей для Microsoft Office.

Установленный на его компьютере антивирус «Касперского» заблокировал эту попытку. Тогда Фо просто отключил антивирус и все-таки установил программу на свой компьютер.

Через некоторое время, воспользовавшись генератором ключей по назначению, он снова запустил антивирус, который моментально обнаружил на компьютере троян Mokes. Увидев сообщение о трояне, Нгиа Хоанг Фо провел полную проверку устройства на наличие других вирусов. И не зря — в архивном файле под названием 7zip обнаружилась еще одна вредоносная программа.

В соответствии с регламентом работы антивируса, этот файл объемом 45 мегабайт был заблокирован, скопирован и отправлен на анализ в «Лабораторию Касперского», где один из аналитиков начал просматривать его вручную. И неожиданно обнаружил программный код, используемый хакерской группировкой Equation, одной из самых мощных в мире.

В свое время «Лаборатория Касперского» даже подготовила об этой группе специальное исследование с красноречивым названием «Equation: «Звезда смерти» галактики вредоносного ПО».

«Домены командных серверов, используемых Equation, были, судя по всему, зарегистрированы еще в 1996 году, — отмечали авторы исследования. — Она много лет взаимодействует с другими влиятельными группировками, такими как израильская Stuxnet, причем каждый раз с позиции превосходства: Equation всегда получала доступ к вредоносным программам раньше других групп».

По оценкам «Лаборатории Касперского», начиная с 2001 года группировка Equation сумела заразить по всему миру компьютеры «тысяч, возможно даже десятков тысяч жертв, относящихся к следующим сферам деятельности: правительственные и дипломатические учреждения; телекоммуникации; аэрокосмическая отрасль; энергетика; ядерные исследования; нефтегазовая отрасль; военные; нанотехнологии; исламские активисты и теологи; СМИ; транспорт; финансовые организации; компании, разрабатывающие технологии шифрования».

И вот осенью 2014 года аналитик “Касперского” обнаружил в архивном файле, присланном из США, исходный код Equation, несколько модификаций этой вредоносной программы, а также четыре секретных документа АНБ США, из которых однозначно следовало, что Equation Group является его подразделением.

Логика подсказывала, что другие хакерские группы, с которыми сотрудничает Equation, — это аналогичные подразделения спецслужб из стран, дружественных США. В частности, Stuxnet явно связана со спецслужбами Израиля.

Эта группа прославилась в 2010 году хакерской атакой, остановившей работу иранских центрифуг для обогащения урана. Уже тогда «Лаборатория Касперского» отмечала, что «такой тип атак может проводиться только при государственной поддержке».

Империя наносит ответный удар

По заявлениям «Лаборатории Касперского», все материалы АНБ США были сразу же удалены с ее компьютеров. Проблема в том, что, как отмечает Politico, «за последние шесть лет эта российская компания раскрыла больше кибершпионских операций США, Израиля, Великобритании и Франции, чем любая другая фирма по компьютерной безопасности, и поэтому сама стала мишенью для хакеров из государственных агентств».

В 2014 году компьютерная сеть «Лаборатории Касперского» была взломана израильскими правительственными хакерами из Stuxnet, которые в течение двух лет шпионили за российской компанией. И когда в компьютерах Kaspersky Lab появился программный код Equation, израильтяне немедленно оповестили Агентство национальной безопасности США об утечке секретной информации.

АНБ сразу развернуло внутреннее расследование в попытке выяснить, как русские могли получить его материалы. Вскоре следователи вышли на Нгиа Хоанг Фо, работавшего в подразделении по оперативному проникновению в компьютерные сети противника. Как выяснилось, он иногда выносил с работы секретные материалы и работал с ними на своем домашнем компьютере, где была установлена антивирусная программа Касперского.

Не желая признавать очевидный провал в своей системе безопасности, АНБ заявило, что именно этот антивирус позволил сотрудникам Kaspersky Lab прочитать и скопировать секретные файлы АНБ, после чего против компании была развернута массированная информационная атака.

В феврале 2017 года АНБ выпустило «секретный» доклад, содержание которого сразу стало известно американским СМИ, где утверждалось, что антивирусы «Касперского» могут использоваться для слежки за пользователями компьютеров и для атак на американскую инфраструктуру.

В мае того же года руководители ЦРУ, АНБ, ФБР и Национальной разведки на слушаниях в сенате публично заявили, что использование программного обеспечения Kaspersky Lab может быть опасным.

В середине июля агентство Bloomberg опубликовало большой материал под заголовком «Лаборатория Касперского» сотрудничает с российской разведкой». В сентябре Министерство внутренней безопасности США отдало распоряжение федеральным гражданским ведомствам удалить программное обеспечение Kaspersky Lab со всех компьютеров.

Кроме того, ФБР запустило серию закрытых брифингов для представителей крупных американских компаний, где бизнесменам рассказывали об опасностях шпионажа, диверсий и атак на инфраструктуру, которые якобы можно осуществлять с применением программного обеспечения “Лаборатории Касперского”.

В результате этой пропаганды объем продаж Kaspersky Lab в США в прошлом году сократился на 25 процентов.

По условиям сделки со следствием Гарольд Мартин получил девять лет тюрьмы. Нгиа Хоанг Фо в сентябре прошлого года приговорен к пяти годам заключения за нарушение правил работы с секретными документами.

Шестнадцатого апреля 2019 года Европарламент в ответ на запрос одного из депутатов опубликовал на своем сайте сообщение о том, что Еврокомиссия «не располагает какими-либо доказательствами в отношении потенциальных проблем, связанных с использованием продукции «Лаборатории Касперского».

Источник: ria.ru

Похожие статьи

НАПИСАТЬ КОММЕНТАРИЙ

Ваш e-mail не будет опубликован. Обязательные поля помечены (обязательно)