Злоумышленникам удалось подменить ссылки на американском сайте "Лаборатории Касперского"

Злоумышленникам удалось подменить ссылки на американском сайте "Лаборатории Касперского"

"Лаборатория Касперского" признала, что 17 октября пользователи, желавшие загрузить продукты компании через ее американское Интернет-представительство usa.kaspersky.com, перенаправлялись на вредоносный ресурс и подвергались атаке ложного антивирусного программного обеспечения "Security Tool".



Сообщается, что на минувших выходных упомянутый сайт компании был взломан; злоумышленники смогли заменить легитимные ссылки для загрузки продуктов "Лаборатории Касперского" вредоносными. В результате посетители сайта, переходившие по подобным ссылкам, оказывались на внешней странице, где им активно предлагали лжеантивирусное ПО. Т.н. "Security Tool" - это классический образец ложного антивируса, который обнаруживает несуществующие "уязвимости и вирусы", всячески запугивает ими пользователя и настойчиво рекомендует купить якобы полную версию продукта для избавления от этих угроз.


Пострадавшие пользователи сообщили о происшествии на нескольких форумах, в том числе на собственном форуме "Лаборатории Касперского", однако, по их словам, представители компании упорно отрицали факт взлома. Единственным исключением является ответ сотрудника японского подразделения "Лаборатории", известного под псевдонимом "Micha": он поблагодарил посетителей за информацию и пообещал, что проблема будет исправлена.


Тем не менее, компания официально признала произошедшее только через два дня, 19 октября. "Лаборатория Касперского" сообщила Интернет-изданию IT Pro, что вредоносное перенаправление существовало в течение трех с половиной часов 17 октября, пораженный сервер был отключен уже через 10 минут после получения соответствующих уведомлений, а в настоящее время ошибки безопасности исправлены, сервер снова в сети, продукты компании доступны для загрузки.


По данным eWeek, один из пострадавших, который в числе прочих сообщил о проблеме на официальном форуме компании, там же рассказал, что, когда он позвонил в службу технической поддержки, представители "Лаборатории Касперского" обвинили в инциденте его самого - в частности, они высказали предположение, что пользователь перешел по фишинговой ссылке или неверно набрал URL в адресной строке, в результате чего попал на ложный сайт. Когда же пострадавший указал, что вредоносное перенаправление происходит при открытии ссылки для загрузки из официального письма с подтверждением заказа и оплаты лицензии, присланного ему еще семь месяцев назад, сотрудник компании ответил, что "это письмо, вероятно, было поддельным".


"Мало того, что Kaspersky не хочет помочь, так еще и требует денег, чтобы мы купили их продукт и устранили инфекцию, попавшую на компьютер по их же вине", - возмущенно писал пользователь. В целом молчание компании и ее упрямый отказ признать взлом, очевидно, вызвали у посетителей гораздо больше негативных эмоций, нежели сам факт несанкционированного доступа.


Исследователь из Trend Micro Рик Фергюсон написал в корпоративном блоге CounterMeasures, что причиной взлома стала "ошибка в третьестороннем программном продукте, который использовался для администрирования сайта". "Компрометация легитимного центра загрузок, а в особенности - принадлежащего поставщику средств безопасности, может означать смену тактики распространителей ложных антивирусов; этой проблеме необходимо уделить определенное внимание", - указал он.


На форуме Calendar of Updates один из пользователей написал: "Не знаю, чем еще я мог бы помочь. Мне хотелось бы некоторой прозрачности в ответных действиях компании, однако я уверен, что ни один производитель защитного программного обеспечения никогда не признается во взломе своего официального сайта".


"Производители систем безопасности часто становятся целью взломщиков, и, безусловно, политика честности и открытости представляет собой наилучший способ действий в подобной ситуации", - подтвердил в своем блог-сообщении и г-н Фергюсон.


Блог ZDNet Zero Day сообщил по этому поводу, что с 2000 года различные Интернет-представительства "Лаборатории Касперского" подверглись по меньшей мере 36 успешным атакам. В их числе - ошибка безопасности базы данных, выявленная после запуска новой версии сайта технической поддержки компании в 2009 году; тогда атака посредством SQL-инъекции позволяла извлечь электронные адреса клиентов и коды активации. На этот раз, впрочем, "Лаборатория Касперского" уверена, что пользовательские сведения раскрыты не были.

" />