Злоумышленникам удалось подменить ссылки на американском сайте "Лаборатории Касперского"

"Лаборатория Касперского" признала, что 17 октября пользователи, желавшие загрузить продукты компании через ее американское Интернет-представительство usa.kaspersky.com, перенаправлялись на вредоносный ресурс и подвергались атаке ложного антивирусного программного обеспечения "Security Tool".

Сообщается, что на минувших выходных упомянутый сайт компании был взломан; злоумышленники смогли заменить легитимные ссылки для загрузки продуктов "Лаборатории Касперского" вредоносными. В результате посетители сайта, переходившие по подобным ссылкам, оказывались на внешней странице, где им активно предлагали лжеантивирусное ПО. Т.н. "Security Tool" - это классический образец ложного антивируса, который обнаруживает несуществующие "уязвимости и вирусы", всячески запугивает ими пользователя и настойчиво рекомендует купить якобы полную версию продукта для избавления от этих угроз.

Пострадавшие пользователи сообщили о происшествии на нескольких форумах, в том числе на собственном форуме "Лаборатории Касперского", однако, по их словам, представители компании упорно отрицали факт взлома. Единственным исключением является ответ сотрудника японского подразделения "Лаборатории", известного под псевдонимом "Micha": он поблагодарил посетителей за информацию и пообещал, что проблема будет исправлена.

Тем не менее, компания официально признала произошедшее только через два дня, 19 октября. "Лаборатория Касперского" сообщила Интернет-изданию IT Pro, что вредоносное перенаправление существовало в течение трех с половиной часов 17 октября, пораженный сервер был отключен уже через 10 минут после получения соответствующих уведомлений, а в настоящее время ошибки безопасности исправлены, сервер снова в сети, продукты компании доступны для загрузки.

По данным eWeek, один из пострадавших, который в числе прочих сообщил о проблеме на официальном форуме компании, там же рассказал, что, когда он позвонил в службу технической поддержки, представители "Лаборатории Касперского" обвинили в инциденте его самого - в частности, они высказали предположение, что пользователь перешел по фишинговой ссылке или неверно набрал URL в адресной строке, в результате чего попал на ложный сайт. Когда же пострадавший указал, что вредоносное перенаправление происходит при открытии ссылки для загрузки из официального письма с подтверждением заказа и оплаты лицензии, присланного ему еще семь месяцев назад, сотрудник компании ответил, что "это письмо, вероятно, было поддельным".

"Мало того, что Kaspersky не хочет помочь, так еще и требует денег, чтобы мы купили их продукт и устранили инфекцию, попавшую на компьютер по их же вине", - возмущенно писал пользователь. В целом молчание компании и ее упрямый отказ признать взлом, очевидно, вызвали у посетителей гораздо больше негативных эмоций, нежели сам факт несанкционированного доступа.

Исследователь из Trend Micro Рик Фергюсон написал в корпоративном блоге CounterMeasures, что причиной взлома стала "ошибка в третьестороннем программном продукте, который использовался для администрирования сайта". "Компрометация легитимного центра загрузок, а в особенности - принадлежащего поставщику средств безопасности, может означать смену тактики распространителей ложных антивирусов; этой проблеме необходимо уделить определенное внимание", - указал он.

На форуме Calendar of Updates один из пользователей написал: "Не знаю, чем еще я мог бы помочь. Мне хотелось бы некоторой прозрачности в ответных действиях компании, однако я уверен, что ни один производитель защитного программного обеспечения никогда не признается во взломе своего официального сайта".

"Производители систем безопасности часто становятся целью взломщиков, и, безусловно, политика честности и открытости представляет собой наилучший способ действий в подобной ситуации", - подтвердил в своем блог-сообщении и г-н Фергюсон.

Блог ZDNet Zero Day сообщил по этому поводу, что с 2000 года различные Интернет-представительства "Лаборатории Касперского" подверглись по меньшей мере 36 успешным атакам. В их числе - ошибка безопасности базы данных, выявленная после запуска новой версии сайта технической поддержки компании в 2009 году; тогда атака посредством SQL-инъекции позволяла извлечь электронные адреса клиентов и коды активации. На этот раз, впрочем, "Лаборатория Касперского" уверена, что пользовательские сведения раскрыты не были.