«Лаборатория Касперского» по заказу ФСБ разработала секретную систему защиты от DDoS-атак, устанавливающую местонахождение хакеров. Об этом пишет во вторник, 11 июля, Bloomberg Businessweek. По данным издания, компания давно поддерживает с ведомством тесные неофициальные отношения.
К примеру, она не только вычислила ряд хакеров, но и участвовала в рейдах против них. Как пишет Bloomberg, одним из участников таких рейдов был сотрудник «Лаборатории Касперского» Руслан Стоянов, в настоящий момент арестованный по делу о госизмене, а возглавлял проект Игорь Чекунов, который раньше служил в КГБ.
Издание ссылается на переписку сотрудников компании начиная с 2009 года, в том числе письма ее руководителя Евгения Касперского. Сама «Лаборатории Касперского» подтвердила ее подлинность,
В компании также признают сотрудничество с ФСБ, но отрицают факт создания для ведомства системы защиты от DDoS-атак с расширенными возможностями. При этом отмечается, что сотрудники «Лаборатории» могли участвовать в поисковых рейдах, о которых пишет Bloomberg, чтобы найти улики на компьютерах подозреваемых.
В официальном заявлении «Лаборатории Касперского» утверждается, что Чекунова нельзя называть сотрудником КГБ, потому что его связь с ведомством ограничивается только пограничной службой по призыву.
Ранее в июле в компании заявили, что некоторые государства пытаются склонить ее сотрудников к нелегальной хакерской деятельности, однако лаборатория занимается исключительно вопросами кибербезопасности, заверили там. Заявление компании последовало после того, как к сотрудникам «Лаборатории Касперского», проживающим в США, в конце июня нагрянули агенты ФБР. Они отметили, что у них нет претензий к сотрудникам антивирусной компании, а работники бюро лишь собирали факты об устройстве рабочего процесса в «Лаборатории Касперского», а именно: какие данные о работе в США передаются в Россию.
Комментарий «Лаборатории Касперского»:
Ни у «Лаборатории Касперского», ни у кого-либо из ее руководства нет и не было неуместных связей с каким-либо правительством. Компания регулярно проводит встречи с представителями правительств и правоохранительных органов разных стран с единственной целью — для борьбы с киберпреступностью.
Факты из внутренней переписки, упомянутой в статье, либо неверно истолкованы, либо сознательно искажены. Но в отрыве от интерпретаций сами факты по-прежнему явно говорят о том, что нет никаких доказательств подобных связей, поскольку нет и самих связей.
«Компания разработала защитную технологию по заказу ФСБ и участвовала в совместных проектах, огласка которых стала бы очень неудобной для компании, о чем знал генеральный директор»
Важно отметить, что «Лаборатория Касперского» никогда не получала запросов от российского правительства на создание или участие в анти-DDoS проекте. Мы собрали мнения наших клиентов и правительственных органов, которые считали DDoS серьезным риском, в рамках стандартного маркетингового исследования. В письмах, на которые вы ссылаетесь, Евгений Касперский просто подтверждает необходимость формального выделения бюджета и R&D ресурсов на доработку прототипа решения до финального продукта. Другими словами, эта разработка не была секретной, это был один из потенциально успешных проектов, над которыми компания работала в то время, ориентируясь на потребности рынка.
Хотим отдельно прояснить: ФСБ не является и никогда не была клиентом Kaspersky DDoS Protection. Пока шел процесс разработки анти-DDoS решения, Евгений Касперский ясно дал понять в своем письме, что не желает каких-либо утечек технологии, поскольку атакующие могут воспользоваться этим для обхода защиты, а конкуренты – скопировать технологию до ее официального запуска
«Лаборатория Касперского» сотрудничает с компаниями, предоставляющими интернет-хостинг, чтобы выявить киберпреступников и заблокировать их действия»
«Лаборатория Касперского» не сотрудничает с хостинговыми компаниями в целях нахождения организаторов атаки. Наше взаимодействие с хостинг-провайдерами в сфере анти-DDoS сводится к тому, что мы стараемся заблокировать атаку на уровне провайдера, прежде чем вредоносный трафик достигнет атакуемого веб-ресурса. Это происходит в тех случаях, когда эксперты компании понимают, что потенциальный источник атаки находится в конкретных дата-центрах.
«Активные контрмеры — устоявшийся термин среди профессионалов по безопасности, часто относящийся к взлому хакеров или отключению их компьютеров, распространяющих вредоносное ПО»
В статье «контромеры» некорректно трактуются как меры в отношении правительства, в то время как имеются в виду шаги, стратегии и меры, необходимые для обеспечения надёжной защиты пользователей от DDoS. Например, аналитическая система, которая осуществляет мониторинг активности DDoS-ботнета и своевременно предупреждает клиента о начале атаки.
Атака «в ответ» незаконна. «Лаборатория Касперского» никогда не делала ничего подобного. Наоборот, мы активно участвуем в операциях по перехвату и закрытию ботнетов, которые проводятся совместно с правоохранительными органами разных стран – в этих случаях компания проводит техническую экспертизу (пример: https://www.interpol.int/News-and-media/News/2015/N2015-038).
«Вторая часть более необычна: «Лаборатория Касперского» обеспечивает ФСБ данными в реальном времени о местонахождении хакеров и отправляет своих экспертов, чтобы помогать ФСБ и МВД во время задержаний»
«Лаборатория Касперского» сотрудничает с правоохранительными органами разных стран, включая Россию, в сфере борьбы с киберугрозами – в частности, компания проводит техническую экспертизу и анализ вредоносного ПО при расследовании киберинцидентов. Участвуя в официальных расследованиях киберпреступлений в России, мы в соответствии с российским законодательством проводим только техническую экспертизу. Что касается рейдов и физического задержания киберпреступников, эксперты «Лаборатории Касперского» могут выезжать вместе с сотрудниками правоохранительных органов чтобы проанализировать любые возможные цифровые улики. На этом наше участие в операциях правоохранительных органов заканчивается. Мы не отслеживаем местоположение хакеров. «Лаборатория Касперского» не предоставляет государственных органам или каким-либо другим организациям и лицам информацию о местоположении людей и не собирает данные, «идентифицирующие пользователей», поскольку это технически невозможно.
«Правительство США не раскрыло никаких доказательств этих связей, однако внутренняя переписка компании, которую получил в распоряжение Bloomberg, ясно показывает, что «Лаборатория Касперского» установила гораздо более близкие связи с ФСБ, чем заявляет публично»
На самом деле эти письма не указывают на такие связи, вся коммуникацию была неверно интерпретирована таким образом, чтобы работать на выдвинутую СМИ теорию. «Лаборатория Касперского» никогда не скрывала того, что содействует правоохранительным органам, в том числе российским, в борьбе с киберпреступностью. Компания предоставляет техническую экспертизу по поводу вредоносного ПО и кибератак.
«Лаборатория Касперского» сотрудничает с правоохранительными органами, коллегами по индустрии и жертвами киберпреступности. Например, мы помогали расследовать дело группировки Lurk, которые украли 45 миллионов долларов из банков и других финансовых учреждений. Таким же образом мы помогали полиции Нидерландов идентифицировать и поймать авторов троянца-шифровальщика CoinVault, большинство жертв которого были из Нидерландов, Германии, США, Франции и Великобритании. Цель компании очень проста — защищать пользователей от киберугроз и сделать Интернет безопаснее для всех.
В арсенале кибергруппы Scaly Wolf появился новый инструмент — программа-загрузчик. По идее, ее использование должно было скрыть внедрение White Snake, однако этого не произошло: вместо инфостилера в систему загружается легитимный проводник Windows.
Новый всплеск активности Scaly Wolf в России был зафиксирован в конце прошлого месяца. Эксперты BI.ZONE насчитали как минимум шесть вредоносных рассылок, проведенных с различных имейл-адресов в рамках целевых атак на госструктуры и частные компании (промышленность и логистика).
Злоумышленники, как и прежде, для маскировки использовали имена федеральных ведомств и выдавали свои письма за официальные уведомления. Однако содержимым ZIP-вложений, против ожидания, оказался не White Snake, а его загрузчик. Тестирование показало, что нововведение не работает, как задумано, и кражи данных в результате атаки не происходит.
«Злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке, — пояснил Олег Скулкин, руководитель BI.ZONE Threat Intelligence. — Вместо White Snake в систему копируется легитимный файл explorer.exe — “Проводник”».
При этом инфостилер был обновлен до последней версии — ее начали продвигать в даркнете в конце марта. Тогда же операторы MaaS-сервиса White Snake (Malware-as-a-Service, зловред как услуга) объявили весенние скидки.
В прошлом году разработчики стилера распустили слух, будто одному из клиентов удалось снять запрет на проведение атак в России и странах СНГ. Не исключено, что они пытались таким образом избежать порицания коллег по цеху. Как бы то ни было, в новейшей версии вредоноса географические ограничения, по словам аналитиков, отсутствуют.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
