Kaspersky och cyberspionage är temat för denna artikel som skapats av författaren Sean Brian Townsend, oberoende forskare inom informations- och datasäkerhet.
Som medlem och talesman för Ukrainas Cyberallians berättar Townsend hur Kaspersky Lab och FSB en gång bestämde sig för att vara hackargruppen Shadow Brokers. Gruppen utförde ett dataintrång vid USA:s signalunderrättelsestjänst NSA och hämtade konfidentiella uppgifter, vilket resulterade i ett stort globalt utbrott av WannaCry, NotPetya och BadRabbit-attacker som ett resultat. InformNapalm delar mot förmodan inte författarens synpunkter och åsikter men låter honom skriva fritt på den här sidan.
Myter och verklighet om antivirusprogram
Det finns många myter om antivirusföretag. Antivirusanvändare skyller ofta på tillverkarna för två dödssynder. Den första är att de skulle göra virusprogram för egen vinning. Den andra är att virusen de skriver kan användas för övervakningsändamål. Dessa myter är falska, men mycket ihållande, och antivirala producenter har under årtionden inte sluppit undan konspirationsteorierna. Misstanken härrör från att användningen av antivirusprogram bygger på ömsesidigt förtroende.
Kaspersky Lab har funnits på marknaden i 25 år, men en dag kunde inte laboratoriet motstå den stora frestelsen. Detta gör att den antivirala tillverkaren numera inte uppfattas som en skyddande säkerhetsfaktor, utan mer som ormen i berättelsen om kunskapens träd.
Myter om hackare
Dessutom finns det myter om hackare. I populärkulturen anses hackare besitta “stor makt”. Som Arthur Clarke sade: “Nog avancerad teknik gör det omöjligt att skilja den från magi”. Karaktären i Guy Fawkes serieroman “Masken” trycker förmodligen på några tangenter och drar ut lösenord från ingenstans, hämtar en miljon dollar eller växlar om mötande datatrafik, orsakar panik och förstörelse. Det händer inte! Mer specifikt händer det, men inte riktigt så. De flesta hackare arbetar inom ett visst område med ett antal jobb, stabilitet och teknologisk enkelhet i beaktande, utan esoterisk datorvoodoo. Datainsamling bygger på enkla matematiska och statistiska regler. Bättre tusen rubel efter ett försök än en enda rubel efter tusen försök. Chansen är oövervinnlig. Därför kan kostnaden för en riktad attack vara från några tusen dollar. Att utveckla hackverktyg tar tid och kostar pengar, som kan användas till något mer användbart än att försöka använda hjärnan att slå huvudet i väggen.
Jag säger detta för att betona att det finns igenkännliga beteenden som skiljer hackare från dem som försöker att fejka. Och det är alltid en frestelse att skylla på sina egna misstag eller att förvirra situationen genom att skylla på en hackerattack genom att hävda “Jag har hackats”, “Ett virus har förstört filen med projektbudgeten” eller “Shadow Brokers var här”. Få människor tycker det är svårt att förstå hur hackare arbetar och ursäkterna de har är ganska trovärdiga. Men eftersom säkerhetstjänsterna behöver mycket specifik information är de inte begränsade vare sig i tid eller i pengar eller etiska överväganden. Nationell säkerhet, punkt slut!
Läckaget av NSA pågick i flera år. I februari 2015 publicerade Kaspersky Lab en rapport från gruppen Equation Group (ett kodnamn påhittat av Kaspersky) om NSA:s påstådda cyber-spaningar. I mars samma år hade NSA just återhämtat sig efter Snowdens läckage. Byrån började då antyda att ryska medarbetare från säkerhetslaboratoriet rörde sig i fel riktning. Bloomberg publicerade en artikel med rubriken “Ett företag som skyddar ditt Internet, som har nära band med ryska spioner“. Företagets grundare Eugene Kaspersky gjorde ett sken av att han inte förstod vinken. Ett faktum är att samarbetet mellan Kaspersky Lab och den ryska säkerhetstjänsten inte är en hemlighet för någon. Den antivirala tillverkarens karriär började med stöd av hans tidigare lärare Reshetnikov vid KGB:s Högskola. Företagets anställda döljer inte samarbetet med säkerhetstjänsten och är stolta över detta.
Ett utdrag ur tidningen Novaja Gazeta från september 2005 och en artikel med titeln “Framtida gäster“: “Polisen kommer regelbundet till kontoret. När jag närmade mig bordet satt två personer där. Låt oss prata med dig i fem minuter, frågade Shevchenko och bad mig sitta. Det här är från avdelningen K och de har kommit för att hämta en ny rapport, sa han när dörren stängdes. Vi och FSB möts regelbundet sa Shevchenko”.
Varför NSA inte reagerade förrän 2017
Nu frågar läsaren varför NSA:s förbud mot användningen av Kasperskys program först kom 2017 och inte tidigare? Detta eftersom ägaren är en spion!? Faktum är att det tidigare bara hade handlat om delar av skadliga koder, bara fragment av ett större program. Ett virus som bör uppfånga anti-virus. För närvarande uppstår så många virus att troligen ingen person, inget företag skulle klara att analysera dem. De flesta virus hittas automatiskt och i ett antivirusprogram finns det tiotusentals luddiga regler, så när en fil verkar alltför misstänkt skickar antivirusprogrammet den till laboratoriet för analys. De flesta antiviruslaboratorier fungerar på så sätt.
Underrättelsetjänster i olika länder har ertappats flera gånger med virusproduktion, där antivirusprogrammen kunde stoppa infektionerna. Om vi bara pratade om delar av skadliga koder skulle USA:s underrättelsetjänst vara tysta och inte ens lyfta ett finger för att varna Kaspersky Lab. NSA visste redan att något inte stod rätt till. Efter sommaren 2016, efter att Demokratiska partiet hade hackats, anklagades ryssarna för dataintrång. I augusti hävdade den okända hackergruppen Shadow Brokers att de hade hackat det amerikanska Equation Group. Sedan började de ladda upp, inte bara delar av skadliga koder utan en komplett uppsättning av hackad programvara med dokumentation. Ingen verkade vara intresserad av pengar, precis som i fallet med NotPetya.
Hackare eller underrättelsetjänster
En objektiv beteendeanalys talar för att om Shadow Brokers hade varit vanliga hackare skulle de ha sagt att de hade hackat NSA eller utfört en anpassad åtkomstoperation. Men de skulle definitivt inte presentera sig som en grupp med ett fiktivt namn som Kaspersky hade gett dem. För att inte nämna det faktum att hackarna inte bara läckte öppna åtkomstverktyg som kostar miljontals dollar. Det verkar konstigt att någon hackar en dator och samtidigt inte har någon aning om vem den tillhör. NSA kallar sig ibland “No Such Agency“, men aldrig “Equation Group” som uppfanns av några ryssar.
Folket bakom Shadow Brokers-gruppen kunde inte heller förstå betydelsen av de publicerade instrumenten, eller omvänt förstod de att Eternal Blue och Eternal Romance omedelbart skulle användas av brottsliga hackare. Eller de som bestämde sig för att låtsas vara skuggiga hackare. Det skulle i sin tur leda allmänhetens uppmärksamhet från ryska hackare, spionage och Trump Gate. Och just detta hände när Shadow Brokers spred WannaCry, NotPetya och BadRabbit, utvecklade av NSA. Hackningsskandalen ebbade inte ut och Shadow Brokers fortsatte att läcka ut vad NSA hade tillverkat. Till slut tröttnade byrån och under våren 2017 uppstod diskussionerna att förbjuda användningen av Kasperskys programvara i den amerikanska offentliga sektorn. Efter att förbudet hade godkänts, vägrade många amerikanska återförsäljare att sälja det ryska antivirusprogrammet. Varför så sent? Ryssarna och amerikanerna är inte de enda aktörerna i cyberkriget. Under 2015 anslöt sig Israels säkerhetstjänst till cyberkriget med programvaran Duqu 2.0.
Den israeliska säkerhetstjänsten hackade Kaspersky Lab och flera andra stora teknikföretag. Detta upptäcktes i juni 2015. Läs artikeln: “Kaspersky Lab undersöker hackerattacker av sitt eget nätverk“. Men Israel hade gått till handling av någon anledning: Många gånger hade Kaspersky satt käppen i hjulet för underrättelsetjänster, till exempel genom att avslöja Stuxnet. Samtidigt som laboratoriet attraherades av de mest kraftfulla aktörernas uppmärksamhet.
Vad som tros ha skett
Enligt min mening, så kände sig Kaspersky Lab trängda på antivirusmarknaden. Utan överdrift måste det ha varit väldigt tråkigt att lägga till 100 500 tusen banktrojaner till en antivirusbas. Därför övergick Kaspersky Lab till spionagespelet. Från NSA:s ANT-katalog och Edward Snowden lärde de sig kodnamnen på olika hemliga NSA-produkter som Cottonmouth. Det är möjligt att hitta detta ord bland ackumulerade misstänkta filer, eftersom Kaspersky har dussintals, om inte hundratals miljoner av dem.
Det är möjligt att lägga till ett speciellt förfarande i en antivirusdatabas. Moderna antivirusdatabaser har inte bara mallar för sökning, utan också mallar på koderna. Och när Kaspersky erbjuder att kontrollera koderna i sina antivirusprogram (efter bokmärken), så är det bara vanligt bondfångeri. I antivirusdatabaser finns det tusentals rutiner. Det är inte möjligt att kontrollera dem, och de kan ändras efter den första uppdateringen. Koden kan se ut som följande: Varje fil, där det finns ett ord med 11 bokstäver, blir 164 (A = 1, B = 2 osv.) ska skickas till centret för vidare analys. Om en fil innehåller strängen “Cottonmouth” kommer den därför att skickas till Kaspersky-databasen för misstänkta filer. Algoritmen kan använda mer avancerade än enkla tillägg, och ingen kodanalys skulle kunna påvisa om Kaspersky har letat efter ett hemligt amerikanskt program eller något förhistoriskt virus från MS-DOS-dagar.
När amerikanerna insåg att Kaspersky oavsiktligt utforskat deras virus, skickade de en varning genom Bloomberg. På grund av ett oavsiktligt enda misslyckande skulle ingen bry sig om att bryta hemligheten. Men de israeler som bröt sig i Kaspersky Lab fann uppenbarligen att det inte fanns några separata fragment av virus, inklusive dokument eller support för icke-skadlig kod. Kaspersky Lab hade inte bara behandlat virus, utan även datorerna där de skrivits och testades. Dessa datorer hade kört Kaspersky anti-virus, men det är något helt annat. Eugene Kaspersky kunde inte motstå frestelsen och bröt därigenom mot antivirusföretagens första budord, att inte använda egna produkter för hackning. Kaspersky fick radera och rensa innehållet i datorerna. Och gav sig förmodligen in i någon form av utpressningsaktivitet: “Ni slutar beskylla ryska hackare, eller kommer Shadow Brokers att samla information om hur ni hackade andra”. Det är möjligt att viruset ursprungligen skickades till FSB, som i sin tur inte kunde bruka den stulna mjukvaran. Istället användes det skadliga programmet för politiskt tryck.
Kaspersky och Shadow Brokers är desamma
J’accuse, för jag är säker på att Kaspersky Lab och hackergruppen Shadow Brokers är ett. Oavsett huruvida FSB stod bakom Kaspersky eller om de gjorde det själva. En annan sida av denna berättelse är händelsen med Cyberberkut och hackningen av Ukrainas centrala valkommission i maj 2014. Cyberberkut är en lågteknologisk grupp bestående av övervägande medelmåttor. Men efter deras dataintrång uppgav de att de hade utnyttjat en sårbarhet som kallas Zero-Day for Cisco. De kunde ha sagt vad som helst, eller ingenting alls, men de sa vad de sa. Då trodde ingen dem, men de hade utnyttjat Zero-Day for Cisco, framtagen av NSA, och hackningen hade offentliggjorts av Shadow Brokers efter ett första förvärv av stulna data från Equation Group. Några av slutsatserna är fortfarande spekulativa men totalt sett verkar allt som förväntat. Vi har nu alla delar av ett pussel, nämligen den ryska presidentens administration, som bestämmer den politiska riktningen, en grupp ljusskygga hackare som används från fall till fall, ibland som verkliga hackare eller undercover, och den federala säkerhetstjänsten som har ett nära samarbete med företag som arbetar med informationssäkerhet.
Och här har vi en vid första anblicken inte så dum Eugene Kaspersky som gör nästan ett dödligt misstag. I en intervju med Associated Press bekräftade Kaspersky att han hade tillgång till, inte bara virusfragment, eftersom de kunde nå honom naturligt, utan också ytterligare programvara och hemliga dokument som endast kunde erhållas genom hackning. Enligt nyhetsbyrån AP hävdade Kaspersky att filerna var från företagets experter när de samlade in information om Equation Group som påstods samarbeta med NSA. Enligt affärsmannen, efter att ha läst om den oväntade upptäckten, krävde han omedelbart att alla data skulle raderas. Läs hela berättelsen: “Kaspersky Lab har av misstag laddat ner hemliga NSA-dokument“.
Oavsett om det har tagits bort eller inte har Kaspersky bekräftat att han, med anti-virus för hackning och spionage, har “förankrat sig i det blå skåpet”. Dessutom provocerade han, om inte organiserade, en viral pandemi, genom att öppna Pandoras bottenlösa låda, utan hopp i princip! Om ett avtal har brutits en gång, som med Budapest-memorandumet, fungerar det kollektiva säkerhetssystemet inte längre. Vi deltar inte i en vanlig duell mot spioner som är involverade i ett globalt cyberkrig. Som i fallet med det rysk-ukrainska kriget kunde ryssarna inte ens inse att de hade passerat en osynlig men mycket viktig röd linje. Nu skulle vi kunna vifta med armarna, jämra oss och säga “varför mot oss?” “Om de kan, varför kan inte vi?” Ryssarna kanske inte förstår vad de ställt till med, men deras vansinniga handlingar har irreversibelt förändrat världen.
InformNapalm delar mot förmodan inte författarens uppfattning men publicerar materialet för informationsändamål.
Detta material får återges enligt Creative Commons (CC-BY). Vid all återgivning skall källan anges med länk till materialet. Vi uppmuntrar våra läsare att aktivt dela våra publikationer på sociala nätverk.
Den breda allmänhetens kännedom är avgörande för att förstå krigets verklighet.