Аўтар публікацыі: Sean Brian Townsend – незалежны дасьледнік у галіне інфармацыйнае й кампутарнае бясьпекі, удзельнік і спікер “Украінскага Кібэральянса” распавядае пра тое, як Каспэрскі й ФСБ удавалі зь сябе “хакераў” “The Shadow Broker” дзеля ўзламаньня й зьліву сакрэтных распрацовак АНБ ЗША. Праз гэты зьліў адбыліся эпідэміі вірусаў-вымагальнікаў “WannaCry”, “NotPetya” і “BadRabbit”.
Рэдакцыя InformNapalm у рубрыцы [opinion] можа мець адрознае ад аўтараў меркаваньне, а таксама дапускае свабодны стыль падаваньня матар’ялаў у гэтым разьдзеле.
Міты й рэальнасьць пра антывірусныя праграмы
Пра антывірусныя кампаніі (AV) маецца вельмі шмат разнастайных мітаў. Карыстальнікі абвінавачваюць іх у двух сьмяротных грахох: у тым, што яны самі пішуць вірусы для ўласнага ўзбагачэньня, і ў тым, што антывірус можа выкарыстоўваць для сачэньня. Міты гэтыя ілжывыя, але вельмі трывалыя й вытворцы AV ня могуць пазбавіцца ад падобных тэорыяў змовы напрацягу дзесяцігодзьдзяў. Падазронасьць паўстае праз тое, што выкарыстаньне антывірусных праграмаў заснаванае на даверы.
«Лябараторыя Каспэрскага» спрабавала здабыць гэты давер напрацягу 25 гадоў, але раптам перакрэсьліла ўсё. І запомняць гэты антывірус не як абаронцу, але як у показцы пра будаўніка, казу і чалавечую падзяку.
Міты пра хакераў
Пра хакераў мітаў існуе ня менш. У масавай культуры хакінг успрымаецца як «супэрсіла». Як казаў Артур Кларк: «Дастаткова прасунутая тэхналёгія ня мае адрозьненьняў ад магіі». Пэрсанаж у масцы Гая Фокса нібыта націскае некалькі кнопак і выцягвае паролі «з пад зорачак», пераводзіць мільён даляраў або перамыкае тунэль на сустрэчны рух, спрычыняецца да панікі й разбурэньняў. Аднак гэтага няма. Ці больш слушна, ёсьць, але зусім іншае.
Большасьць хакераў працуе ў нейкай адной сфэры й выкарыстоўвае колькасьць, стабільнасьць і простасьць тэхналёгіяў, але не эзатэрычнае кампутарнае вуду. Базысам ёсьць простая эканамічная й статыстычная пасьлядоўнасьць. Лепей тысячу разоў па рублю, чымся аднаго разу тысячу. Шанцы несувымерныя. Таму каштарыс мэтавай атакі пачынаецца ад некалькіх тысячаў даляраў. Для распрацоўкі хакерскіх інструмантаў патрэбны час (ён жа ж грошы), які можна выдаткаваць на нешта больш карыснае, чымся на спробы прабіць галавою мур.
Я кажу гэта, каб падкрэсьліць, што ёсьць вядомыя шаблёны паводзінаў, якія адрозніваюць хакераў ад тых, хто спрабуе іх зь сябе ўдаваць. І заўсёды ёсьць спакуса заблытаць сьляды або падаць уласныя памылкі за нібыта хакерскую атаку (“Ай воз хакд”, “Вірус ‘зьеў’ файл з праэктам бюджэту”, “The Shadow Brokers”). Мала хто разумее, як працуюць хакеры, і апраўданьні выглядаюць дастаткова сапраўднымі. А вось спэцслужбам патрэбная цалкам канкрэтная інфармацыя, яны не абмежаваныя ані часам, ані грашыма, ані якімі-кольвек этычнымі меркаваньнямі. Нацыянальная бясьпека й кропка.
Гісторыя з выцекам інфармацыі з NSA (Агенцыя Нацыянальнае Бясьпекі ЗША) доўжылася напрацягу некалькіх гадоў. У лютым 2015 году “Лябараторыя Каспэрскага” апублікавала справаздачу пра “Equation Group” (кодавы назоў, прыдуманы Каспэрскім для падразьдзяленьня АНБ, які нібыта зьдзяйсьняе кібэр-выведку). У сакавіку таго ж году Агенцыя, якая акурат толькі ачуняла пасьля выцеку Сноўдэна, наўпрост намякнула расейскім адмыслоўцам у сфэры бясьпекі, што яны ўлезьлі не на тую дзялянку. Bloomberg апублікаваў артыкул «Кампанія, якая абараняе ваш Інтэрнэт, мае шчыльныя сувязі з расейскімім шпіёнамі» . Заснавальнік кампаніі Яўген Каспэрскі зрабіў выгляд, што намёкаў не разумее.
Сам факт супрацы Каспэрскага з спэцслужбамі Расеі, натуральна, ні для каго ня ёсьць таямніцаю. Бізнэс Каспэрскага пачаўся з таго, што яго падтрымаў былы выкладчык з ВШ КДБ Рашэтнікаў, і супрацоўнікі кампаніі ня толькі не хавалі факт супрацы з спэцслужбамі, але й нават ганарацца гэтым (падаем у арыгінале):
В кабинет периодически заходит милиция. Когда я подошел к столу, около него уже сидели двое. «Поговорим через пять минут», — попросил их Шевченко и пригласил меня присесть. «Это отдел «К». Пришли за очередным отчетом, — сказал он, когда люди притворили за собой дверь. — У нас и ФСБ регулярно бывает…». Шевченко даже не поморщился, упоминая эти буквы. (Новая Газэта, артыкул «Гостев из будущего», верасень 2005).
Чаму АНБ занялася Каспэрскім толькі ў 2017 годзе
«Чаму АНБ забаранілі выкарыстоўваць софт Каспэрскага толькі ў 2017 годзе, але не раней? Ён жа шпіён КДБ?!», – спытае чытач. Рэч у тым, што тады вялося толькі пра ўзоры шкоднага ПА. Узор (або ў прафэсійным слэнгу сэмпл, цела) – толькі фрагмэнт вялікае праграмы. Той самы вірус, які і маюць лавіць антывірусы. Сёньня ствараюць нагэтулькі шмат вірусаў, што аніводзін чалавек, аніводная кампанія ня ў стане зьдзейсьніць іхны аналіз. Большую частку вірусаў ловіць аўтаматыка, але ў антывірус убудаваныя дзясяткі тысячаў недакладных правілаў, і калі файл здаецца занадта падазроным, антывірус дасылае яго ў родную кампанію для аналізу. Так працуе большасьць антывірусаў.
Спэцслужбы розных краінаў сьвету неаднаразова лавілі за руку праз напісаньне вірусаў і антывірусы іх таксама ловяць. Калі б вялося толькі пра сэмплы, то амэрыканскія спэцслужбы прамаўчалі б і нават ня пачалі б пагражаць Каспэрскаму пальцам свабоднае прэсы. Яны ўжо мелі падазрэньні, што гэтым разам усё зусім ня так, як звычайна. Пасьля таго, як улетку 2016 году быў узламаны DNC (Дэмакратычная партыя ЗША), расейцаў зьвінавацілі ва ўзломе. І тут жа, у жніўні, зьяўляецца цалкам невядомая хакерская група “The Shadow Brokers” і заяўляе, што яны ўзламалі “Equation Group”. І пачалі выкладваць ня проста аналітыку або сэмплы, а поўныя камплекты хакерскага софту разам з дакумантацыяй. Грошы, як і ў выпадку з “NotPetya”, нікога насамрэч не цікавілі.
Хакеры або спэцслужбы (аналіз паводзінаў без знаку роўнасьці)
Сур’ёзная памылка. Калі б гэта былі хакеры, то яны б заявілі, што ўзламалі NSA або групу апэратыўнага доступу АНБ (TAO – Office of Tailored Access Operations), але пэўна яны б не называлі групу умоўным імем, якое (увага) ім даў Каспэрскі. Не кажучы ўжо пра тое, што хакеры проста так ня зьлілі б у адкрыты доступ інструманты з коштам у некалькі мільёнаў даляраў (!). Дзіўна, узламаць кампутар і не зразумець, каму менавіта ён належыць. АНБ часам называе сябе жартам “No Such Agency” («Няма Такое Агенцыі»), але ніякім чынам не карыстаецца мянушкаю «Equation Group», якую прыдумаў нейкі расеец.
Людзі, якія стаяць за “The Shadow Brokers”, альбо не змаглі ацаніць адносную важнасьць апублікаваных інструмантаў, альбо наадварот разумелі, што такія ўразы, як “Eternal Blue” і “Eternal Romance”, будуць неадкладна выкарыстаныя чорнымі хакерамі. Альбо тымі, хто вырашыць удаваць зь сябе чорных хакераў. І гэта адцягне ўвагу грамадзкасьці ад Трамп-гэйту, расейскіх хакераў і шпіёнскіх апэрацыяў. Так і адбылося, “вымагальнікі” “WannaCry”, “NotPetya” і “BadRabbit” выкарыстоўваюць зьлітыя “The Shadow Brokers” распрацоўкі АНБ.
Аднак, «хакерскі скандал» не суцішыўся, “The Shadow Brokers” працягвалі зьліваць распрацоўкі АНБ. І агенцыі гэта ўрэшце надакучыла. Увесну 2017 году распачалося абмеркаваньне забароны на выкарыстаньне Антывіруса Каспэрскага ў дзяржаўным сэктары ЗША, і пасьля таго, як забарона была ўхваленая, ад продажаў расейскага антывіруса адмовіліся буйныя амэрыканскія рытэйлеры. Чаму гэтак позна? Расейцы й амерыканцы не адзіныя ўдзельнікі кібэрвайны, у тым жа 2015 годзе ў кібэрвайну ўступілі спэцслужбы Ізраіля (кодавае імя “Duqu”).
Ізраільская выведка ўзламала Лябараторыю Каспэрскага й некалькі іншых буйных тэхналягічных кампаніяў. Узлом быў выяўлены ў чэрвені 2015 году («Kaspersky Lab investigates hacker attack on its own network» – Лябараторыя Касперскага расьледвае хакерскую атаку на ўласнае карпаратыўнае сеціва). Але Ізраіль ўцягнуўся нездарма. Каспэрскі ўжо неаднойчы ўстаўляў палкі ў колы выведцы (“Stuxnet”). Таму прыцягнуў да сябе ўвагу самых моцных гульцоў. Вузел завязаўся шчыльна. У Касперскага на шыі.
Што ж адбылося? Мая вэрсія
Каспэрскі адчуў, што яму мала аднаго толькі рынку антывірусаў. Дадаваць у базу 100500 тысячны (і гэта акурат не перабольшваньне) банкаўскі траян вельмі сумна. І Лябараторыя Каспэрскага палезла ў шпіёнскія гульні. З каталёгу ANT NSA (Сноўдэн. Сьнежань 2013 (!)) яны даведаліся кодавыя назвы сакрэтных праграмаў АНБ. Такія як “COTTONMOUTH” («баваўняны рот»). Далей можна пашукаць гэтае слова сярод назапашаных падазроных файлаў (Каспэрскі мае іх дзясяткі, калі ня сотні мільёнаў). Можна дадаць спэцыяльную працэдуру ў антывірусную базу.
У сучасных антывірусах базы складаюцца ня толькі з шаблёнаў для пошуку, але й з коду. І калі Каспэрскі прапануе амэрыканцам праверыць код свайго антывірусу на наяўнасьць «закладак» – гэта звычайныя хітрыкі. У антывіруснай базе тысячы падпраграмаў, праверыць іх усе няма аніякае мажлівасьці й яны могуць зьмяніцца пасьля першага ж абнаўленьня. Код можа выглядаць так: любы файл, у якім ёсць слова з 11 літараў, якія ў суме даюць 164 (A = 1, B = 2, …) трэба даслаць у «цэнтар» для дадатковага аналізу. Такім чынам файл, які зьмяшчае радок «COTTONMOUTH» будзе дасланы ў KSN («Kaspersky Security Network» – сховішча падазроных файлаў). Альгарытм можа быць выкарыстаны крыху больш складаны, чымся простае складаньне й аніякі аналіз коду не дазволіць даказаць, што Каспэрскі шукаў сакрэтную амэрыканскую распрацоўку, але не які-кольвек дагістарычны вірус часоў MS-DOS.
Калі амэрыканцы зразумелі, што Каспэрскі вывучае іхныя вірусы невыпадкова, але мэтаскіравана, тады яны й даслалі папярэджаньне праз Bloomberg. Праз выпадковы адзінкавы правал ніхто б не пачаў падобным чынам рэагаваць, каб не парушыць рэжым сакрэтнасці. Але ізраілійцы, якія ўзламалі Лябараторыю, цалкам мажліва, знайшлі там не асобныя целы вірусаў, але ў тым ліку й дакуманты, і дапаможны няшкодны код. Каспэрскі вылічыў ня толькі вірусы, але й кампутары, дзе іх пісалі і тэставалі. Што на гэтых кампутарах рабіў антывірус Каспэрскага – асобная размова. Яўген Каспэрскі не ўтрымаўся і парушыў першы запавет антывірусных кампаніяў – не выкарыстоўваць уласны прадукт для ўзлому, i выцягнуў зьмесціва кампутараў ушчэнт. А потым верагодна пачаў шантаж: «Альбо вы спыняеце вінаваціць расейскіх хакераў, альбо “The Shadow Brokers” пададуць інфармацыю пра тое, як вы ўзламваеце іншых». Мажліва, напачатку Каспэрскі перадаў інфармацыю ФСБ, а тыя ў сваю чаргу, не змаглі скарыстаць з выкрадзенага софту й выкарыстоўвалі яго для палітычнага ціску.
J’accuse! Я абсалютна ўпэўнены ў тым, што Лябараторыя Каспэрскага й група «хакераў» The Shadow Brokers – адно і тое ж. Незалежна ад таго, ці стаіць за Каспэрскім ФСБ, ці ён зрабіў усё самастойна. Пабочнае адгалінаваньне ад гэтае гісторыі – “Кібэрбэркут” і ўзлом ЦВК у траўні 2014 году. “Кібэрбэркут” – low tech група, праз якую ідуць збольшага зьлівы. Але пасьля ўзлому яны заявілі, што выкарыстоўвалі эксплоіт нулявога дню ў “Cisco”. Маглі напісаць усё, што заўгодна, маглі прамаўчаць, але напісалі менавіта так. Тады ім ніхто не паверыў. Але эксплоіты нулявога дню для “Cisco” належаць АНБ, і яны былі апублікаваныя “The Shadow Brokers” у першым жа дампе “Equation Group”.
Частка высноваў пакуль абстрактная, але збольшага ўсё выглядае менавіта так, як я і меркаваў. Зараз у нас маюцца ўсе складовыя часткі пазлу – Адміністрацыя Прэзыдэнта РФ, якая задае агульны палітычны курс, разнастайныя чорныя хакеры, якіх выкарыстоўваюць час ад часу і якія могуць быць як сапраўднымі хакерамі, гэтак і легендай прыкрыцьця, і Фэдэральная Служба Бясьпекі, якая шчыльна супрацоўнічае з вытворцамі ПА і фірмамі, якія займаюцца інфармацыйнай бясьпекай.
І тут разумны, на першы погляд, чалавек зьдзяйсьняе практычна фатальную памылку. Яўген Каспэрскі ў інтэрвію Associated Press пацьвердзіў факт, што ён меў ня толькі целы вірусаў (яны маглі патрапіць да яго натуральным чынам), але й дадатковы софт і сакрэтныя дакуманты, якія можна было атрымаць толькі праз узлом (цытуем):
Касперский утверждает, что файлы оказались у специалистов компании во время сбора информации о хакерской группировке Equation Group, которая якобы сотрудничала с АНБ. По словам бизнесмена, узнав о неожиданной находке, он потребовал немедленно удалить эти данные. (артыкул ««Лаборатория Касперского» случайно скачала секретные документы АНБ»).
Не важна нават, «выдаліў» ён іх ці не. Насамрэч – не. Самае важнае, што Каспэрскі прызнаў, што сапраўды ўмоўна «распял мальчика в одних трусиках», то бок выкарыстоўваў антывірус для ўзлому й шпіянажу. І, як мінімум, справакаваў (калі не арганізаваў) вірусную пандэмію. Адчыніў скрыню Пандоры, у якім на дне аніякай надзеі няма ў прынцыпе!
Калі дамоўленасьць аднойчы парушаная (як у выпадку з Будапэшцкім мэмарандумам), то сыстэма калектыўнае бясьпекі больш не працуе. І мы маем справу ня з звыклым двубоем шпіёнаў, але ўдзельнічаем у сусьветнай кібэр-вайне. Як і ў выпадку з расейска-ўкраінскай вайной, расейцы нават не зразумелі, што перакрочылі нябачную, але вельмі важную мяжу. І зараз могуць махаць рукамі і галасіць «А нас за что?», «Почему им можно, а нам нельзя?». Яны сапраўды не разумеюць, але гэта нічога не зьмяняе, таму што празь іхныя вар’яцкія дзеяньні ўжо незваротна зьмяніўся ўвесь сьвет.
Рэдакцыя InformNapalm у рубрыцы [opinion] і [грамадзянская супольнасьць / civil society] можа мець адрознае ад аўтараў меркаваньне. Матар’ялы ў гэтых разьдзелах публікуем для азнаямленьня.
Пераклаў на беларускую мову Дзяніс Івашын.
Падчас вышкалаў «Захад-2017» расейскі Ка-52 выпусьціў тры ракеты і пашкодзіў машыну кіраваньня комплексу «Леер-3»
Дзяніс Івашын: Беларусь – гэта лайт-вэрсія ДНР. Гарачы камэнтар тэлеканалу Белсат
Кантракт у баявікі “наваросіі” аформлены ў Валгаградзкім ваенкамаце
Усход – справа тонкая: 29 вайскоўцаў з 291-й артбрыгады ЗС РФ у Сірыі
22-я брыгада СпН ГРУ РФ. Два мэдалі за Данбас і адпачынак у Нікарагуа