Касперский: в 2014 антивирус «Касперского» обезвредил секретный шпионский код американского АНБ

«Лаборатория Касперского» рассказала о случайной находке файла исходного кода вредоносных программ «Equation APT», возможно эксплуатируемых американским АНБ, сообщили «Ведомости» со ссылкой на интервью Евгения Касперского Associated Press и запись в англоязычном блоге антивирусной компании.

Троян, предположительно связанный с АНБ, софт «Лаборатории» нашёл 11 сентября 2014 года. Зловред интегрировался с крэком («таблеткой») для активации пиратских копий Microsoft Office. Последний раз модифицированную разновидность вируса в ЛК детектировали 17 ноября 2014 — на том же самом, «первом» заражённом компьютере.

В улове Лаборатории Касперского нашёлся код американского АНБ

Троян жил на инфицированном компьютере неизвестно долгое время до первого обнаружения в сентябре. Во время начальной установки шпионской программы антивирус «Касперского» был деактивирован. В 2015 следы вируса ещё встречались в интернете, но детально их не исследовали — «Лаборатория» изучает первый образец кода, а не последующие идентичные копии, и принимает решение:

Аналитики ЛК предположили, что к ним в руки попали засекреченные средства спецслужб. О результатах они доложили руководителю компании Евгению Касперскому. Тот распорядился немедленно стереть эти файлы.

В начале 2015 года «Лаборатория Касперского» выпустила сорокастраничный отчёт (.pdf, 4 Мб) «Группа Equation в вопросах и ответах». Разработками Equation чаще всего заражались компьютеры в Иране, на втором месте — Россия, затем Пакистан, Афганистан [sic!], Китай, Мали, Сирия, Йемен и Алжир. Целями кибершпионажа становились правительственные и военные структуры, телекоммуникационные и энергетические компании, банки, исследователи, специализирующиеся в ядерной физике, СМИ и исламские активисты.


В июне 2015 «Лаборатория» сообщила, что она подверглась успешной хакерской атаке — Касперский был уверен, что за атакой стояло некое государство.


В целом ЛК зафиксировал работу вредоноса «Equation APT» в 40 странах. Несколько лет назад, по стандартной для сторон процедуре, «Лаборатория Касперского» информировала соответствующие учреждения правительства США о инфекциях APT в США, сообщила «Лаборатория» в свежей записи в корпоративном блоге.

Касперский заверил АР, что любая засекреченная правительственная информация, которая попадет в компанию, будет немедленно уничтожена. На вопрос, сообщил ли он об инциденте 2014 года в АНБ, Касперский отвечать отказался, — привели подробности интервью «Ведомости».

Неделей ранее глава «Лаборатории Касперского» заявил:

в сентябре-октябре в американской прессе была организована откровенная травля нашей компании. На ["Лабораторию Касперского"] обрушился водопад обвинений. Не проходило недели, чтобы очередной медиа-гигант [Wall Street Journal, Washington Post, New York Times, Вloomberg] не выкатил очередной пасквиль про русских хакеров и руку Кремля.

Касперский попинал американские СМИ за обвинения «Лаборатории» без доказательств

Обоснованных доказательств шпионской работы на Кремль, по мнению Евгения Касперского, перечисленные СМИ не приводят.

История о том, как сотрудник АНБ перенёс шпионский код ведомства на подключённый к обычном интернету компьютер, после чего антивирус ЛК обнаружил трояна, в прошлом уже звучала, но сама «Лаборатория Касперского», во время противостояния 2017 года с американскими СМИ и, отчасти, с американскими покупателями розничными и из госсектора, не акцентировала внимание на архивном сюжете. Хотя американскому читателю старая история тоже известна.

В феврале 2015 года Reuters изучили отчёт «Лаборатории Касперского». Агентство отметило, что шпионский софт можно найти на устройствах Western Digital, Seagate, Toshiba (производители жёстких дисков) и других заметных марок. Reuters обратили внимание, что «Касперский» сопоставил новую киберактивность с известным ранее кодом Stuxnet. Эта разработка использовалась для ликвидации установки по обогащению урана в Иране. Reuters связались с бывшим сотрудником АНБ, который подтвердил — «Лаборатория» права, в АНБ одинаково высоко оценивают и Stuxnet, и Equation (кто их автор не уточнялось). Другой разведчик заявил агентству, что АНБ разработала технологию сокрытия шпионских программ на жёстких дисках, но этот разведчик не знал, как именно её использовали. Пресс-секретарь АНБ отказалась комментировать изыскания Reuters. Однако Питер Свайр, один из пяти членов группы Intelligence and Communications Technology при президенте США Бараке Обаме, напомнил Reuters о морали: «отчёт Касперского показывает — перед тем, как использовать уязвимости в ПО для сбора разведывательных данных, государства должны взвесить возможные последствия для торговли и дипломатических отношений» (с 2014 года, после кризиса в Крыму, отношения РФ-США и так прохладные, даже без вирусов).


P. S. В сентябре 2016, Reuters сообщили, что американское Агентство национальной безопасности (АНБ) возможно само допустило утечку хакерских инструментов, которые использовались при атаке на Национальный демократический комитет и в ряде других громких взломов, в которых обвиняли российские спецслужбы. АНБ признало, что один из сотрудников агентства в 2013 году по ошибке допустил утечку служебного ПО. ЦРУ, которое вело расследование, подтвердило, что причиной утечки софта не был ни инсайдер, ни российские хакеры, взламывающие сервера штаб-квартиры АНБ в Форт-Миде в штате Мериленд.

Добавить 23 комментария

  • Ответить
    Альтер Эго

    Непонятна целевая аудитория этой новости. Как Касперский узнал, что тексты трояна представляют гостайну? Они были подписаны сертификатом АНБ? Почему комп с исходным кодом вируса назван заражённым? Может быть источник путает исходные тексты программ с заражёнными файлами? Непонятно, почему Касперский стёр вреднонос, а не изучил его чтобы научиться лучше бороться? Он сам на кого работает — на своих клиентов или АНБ?

  • Ответить
    Джигсо > Альтер Эго контекст

    >> Непонятна целевая аудитория этой новости. Как Касперский узнал,

    а и нет никаокй целевой. И цели нет. Точнее — цель просто в том, чтобы годами, изодня в день, как стеклышки в калейдоскопе, сусолить «код, троян, вирус, антивирус, АНБ, касперский, секреты». Все.
    Это нормальный комплект для писания од, тропарей и виршей.
    Двенадцатый ваал, грядет, взвивается, реет.

    Хоть бы раз написали — что за секретные секреты то без конца в виде «файлов» преехватываются и захватываются? кто их пишет? Это чо — пароли и явки шпионов, чертежи пушек, конспекты закулисы? О чем речь? В чем ценность всех секретов?
    А раз этого не знает никто (равно и перепроверить невозможно и руками пощупать) — то зачем без конца сообщать подробности какието таинственные?
    Было-небыло, когда было, что это было? Зачем массам знать об этом?

    Кроме как рекламой — это ничем нельзя объяснить. Зато фирма на слуху.
    Ведь автомобиль — его можно увидеть. Смартфон — в руках подержать. И сделать выбор.
    А как втюхать «код», который в отличие от тогоже фотошопа или офиса — нельзя даже увидеть, что тебе впарили?

  • Ответить

    >> секретный шпионский обезвредил АНБ

    масляное масло — особенно маслянисто в условиях экономичной экономики. Экономические предпосылки экономично замасливаются маслами, а экономисты кушают хлеб с маслом.

  • Ответить
    Олег Яшин Русский Щит

    Зловред интегрировался с крэком («таблеткой»)
    Позанудствую немного. Крэк — наркотик. В русскоязычных СМИ лучше писать или crack (взломщик, таблетка), или расписывать конкретику — кейген, патч, правленный (измененный) .exe файл.

  • Ответить

    Как Касперский узнал, что тексты трояна представляют гостайну?
    Вы думаете, что Вам расскажут всю-всю правду про эту историю? Каждый излагает свою версию.

    У одних версия, что антивирус помимо обычного зловреда, нашел государственного зловреда, опознал его по сапогам и погонам, скинул его себе в базу (чтобы зрасьте говорить при новой встрече), но лечить не стал, потому что этика.

    У других, что в процессе обычного поиска вирусов было просканировано все, и найдены пресловутые файлы MSOffice, которые вирусом не являлись, сигнатуры не содержали, но имели внутри некоторые связанные тексты и главное — определенные любопытные ключевые фразы. Вполне возможно, что и Top Secret. Эти признаки были переданы антивирусом аналитикам в РФ, которые уверенно опознали, что это не пиратская копия сериала 1952 года, и решили, что им для коллекции нужно все, что связано с этими файлами, этими директориями и этими названиями (о чем была оповещена копия антивируса на конкретном компе, которая и собрала посылку). Копия, естественно, только для ознакомления, после просмотра будет удалена с компьютера. А почему потом Shadow Brokers дети матом стали ругаться — мы не знаем.

    А у некоторых версия, что злобные русские, получив от Эдика Снежного интересные теги и имена, ломали все и вся в поисках этих тегов, вставляли поиск этих тегов в антивирусы, взломщики, пиратские сборки Windows, Office и сборники AdminPE, Загрузочный Диск и даже Яндекс, таки нашли, разломали на этом компьютере все, да еще и на рабочем столе слово их трех букв написали (по китайски, справа налево, и по времени Антарктиды, чтобы всех запутать). А чтобы никто на них не подумал — взломали штаб Хилари Клинтон и там тоже…

    А как оно на самом деле было — не факт что и в мемуарах через 40 лет напишут. Ибо если даже и есть запись регистратора, которые беспристрастно фиксировал все происходящее, то она уже давно изъята и уничтожена во избежании (обычная практика). Т.к. если такая история уходит в паблик — значит либо политика, либо кто-то лажанулся. В первом варианте будут врать на порядки больше, правда никому не нужна, а все-все участники в любом случае будут отмазываться.

  • Ответить
    Глеб Суворов https://telegram.me/itsocial

    с мест сообщают:

    " Сотрудник «Лаборатории Касперского» Руслан Стоянов плотно сотрудничал с рядом западных компаний, помогавших спецслужбам США вычислять российских хакеров и документировать их деятельность. Однако порой их работа заходила в тупик, поскольку требовались «закрытые» сведения, которые можно было получить лишь у российских спецслужб. Официально это было сделать невозможно. Тогда представители компаний обращались за помощью к Стоянову, а тот шел к своим хорошим знакомым — Сергею Михайлову и его подчиненному Дмитрию Докучаеву. Тем получить нужные сведения труда не составляло, они имели к ним доступ по роду службы. Дальше информация через Стоянова шла в западные компании и американские спецслужбы. «- конец цитаты. Так штаааааааааааааааааа.

    http://m.rosbalt.ru/moscow/2017/10/25/1655920.html

  • Ответить

    Дальше информация через Стоянова шла в западные компании и американские спецслужбы
    А новость с мест в чем заключается? Обо всем этом достаточно живо говорили в комментах на РОЕМ в январе:

    «У Кребса кое-какие интересные моменты тоже проскакивают:"
    http://roem.ru/27−01−2017/241698/izmena-digest-27jan/#comment-246659

    Росбалт просто освежил уже имеющиеся данные, чтобы не давать Дождю возможности лишнего пиара ни на чем.

  • Ответить

    >> с мест сообщают:
    » Сотрудник «Лаборатории Касперского» Руслан Стоянов плотно сотрудничал с рядом западных компаний, помогавших спецслужбам США

    в тысячный раз доказывает, что спецслужбы, тем более, в таких количествах, являются самым ненадежным и дырявым звеном любой системы. Собсно, их и небыло то никогда нигде почти. Понасоздавали в конце 20 века, была мода. (да и лишний народ кудто надо было деть. не всех могут учоный\инженер\рабочий).
    Потом также понасоздавали жирналистов полчища. Теперь тоже не знают, куды девать.

  • Ответить
    Олег Яшин Русский Щит

    Улыбнуться и ностальгировать, по ситуации с ЦИБ:

    27 июня 2011 года от главного редактора Хакера Никиты Кислицина:
    «Уважаемый Дмитрий! … учитывая практику ФСБ передавать материалы по скрывающимся киберпреступникам ФБР …"

    Накапливать на себя материалы по два-семь-пять еще до того, как это стало мейстримом.

  • Ответить

    >Кроме как рекламой — это ничем нельзя объяснить. Зато фирма на слуху.
    Ведь автомобиль — его можно увидеть. Смартфон — в руках подержать. И сделать выбор.
    А как втюхать «код», который в отличие от тогоже фотошопа или офиса — нельзя даже увидеть, что тебе впарили?

    «Код» — слово, указывающие на говорящего «специалиста» и как бы подчеркивающее, что это очень важно и ответственно. Люди любят употреблять в речи всякие специальные слова и рассуждать о всяких «крутых» вещах с обилием специальных, непонятных большинству обывателей (и самим рассуждающим) терминов. Потом бабки у подъезда с таким же серьезным видом, с каким Ашманов рассуждал тут пару лет назад про первый удар крылатыми ракетами США по объектам РВСН, будут рассказывать друг другу, что самый главный русский хакер Касперский копирастическо-телепартически проник в голову сотрудника АНБ и упер из этой головы секретнейший код под названием Классифайд-Тип-Топ-Секрет", и это возмутительно!!!

    Это хайп и борьба за голоса как в будущих внутриамериканских разборках, так и мотивирование всяких европейских шавок против общего врага. Умеют работать!

  • Ответить

    >> «Код» — слово, указывающие на говорящего «специалиста» и как бы подчеркивающее, что это очень важно и ответственно.

    код Да Винчи, бла бла…
    Остап это блок вокабуляра не включил в свой «универсальный комплект», а пора бы дополнить.
    Вообще, эти бессмысленные и бессодержательные, равно как и перманентные, новости о «борьбе кодов с контркодами» надо бы както уже генерировать с помощью флудогенераторов.

  • Ответить

    Проблема заключается в том, что Касперский находится в Российской юрисдикции. Какая нормальная западная компания, в текущих условиях будет держать на своих ПК софт, имеющий доступ ко всей системе, который из России что-то подтягивает, и в Россию что-то шлёт ?
    Под честное слово, что господин Касперский смотреть не будет? Ну сегодня не будет, завтра в нему дяденьки в погонах придут, и он посмотрит, и мало того, еще и поможет, отдаст и покажет, что с этим делать.

    Это причем верно и для западного аналогично ПО, применяемого на наших предприятиях.

  • Ответить

    >Какая нормальная западная компания, в текущих условиях будет держать на своих ПК софт, имеющий доступ ко всей системе, который из России что-то подтягивает, и в Россию что-то шлёт ?

    Хорошее замечание, еще интереснее получается если «западная компания» заменить на «сотрудник АНБ», вообще начинает попахивать идиотизмом, но ничего, плебс американский видимо и не такое сожрет и не подавится.

    Мы тут удивляемся бредовости всей ситуации, но забываем простой факт что с образованием в сша вообще то совсем не очень все, процент высшего образования в разы меньше чем у нас, школьное в среднем тоже много хуже (там качество образования сильно от уровня дохода муниципалитета зависит, основной доход которого налог на недвижимость)

    Так и получается, что отсюда это кажется бредом, а там это вполне годный для плебса корм, чтоб выбить еще больше денег для АНБ и пентагона.

  • Ответить

    а кто удивляется бредовости ситуации? мало ли кто какие новости понавыдумает чтоб своей конторе имидж поднять и крутости добавить?
    кто там видел эти коды\шмоды и какие там кто файлы крал и с чем?

    вылоп то один: ЛК крутая фирма, крала у самой АНБ правда, таки, попалась. Ну это тоже не удевляет, а как бы такой шрам на щеке. Круто.
    А как еще продвигать софтину, которая работает в фоновом режиме и вапще непонятно что и зачем делает, а может там ничего кроме иконки и экзешника (вес которого вовсе не доказывает, что там на самом деле именно столько кода. Ведь в мешок можно для солидности и кирпичей наложить) и нет?

  • Ответить

    < а может там ничего кроме иконки и экзешника
    Тоже самое можно сказать про любой другой антивирус.

    Это не удар по Касперскому, или по Российскому рынку, это тупо попытка доступно и предельно ясно вложить в голову западному потребителю, что используя российский софт, ты оставляешь в своей системе чудовищную дырку, которая ведет прямо в Россию.
    Причем, повторюсь, аналогичная мысль должна быть предельно доступно вложена и в голову российским потребителям по отношению к западному софту, для нас это верно в совершенной той же степени.

  • Ответить

    >> Тоже самое можно сказать про любой другой антивирус.

    и про другой. Я вобще всегда поражался этой теме антивирусной. Этож по сути продажа плацебо и без всякого объективного контроля. Завидую белой завистью.
    Мне просто наглости и апломба не хватило на это, прямо скажу.

    >> ясно вложить в голову западному потребителю, что используя российский софт, ты оставляешь в своей системе чудовищную дырку, которая ведет прямо в Россию.
    >> аналогичная мысль должна быть предельно доступно вложена и в голову российским потребителям по отношению к западному софту

    абсолютли. Корюзлая попытка создать свой небольшой импортозамещенный базарчик.
    сегодня слушаешь ты джазз… а завтра…
    сегодня ставишь фотошопп, а завтра в сша ушол…
    сегодня у тебя винда, а завтра сам сбежишь туда…
    блаблабла

  • Ответить

    >Это не удар по Касперскому, или по Российскому рынку
    >что используя российский софт, ты оставляешь в своей системе чудовищную дырку, которая ведет прямо в Россию.

    Железобетонная логика.

  • Ответить
    Альтер Эго

    Нет, не верно. У Интела есть офисы разработки в России, у Самсунга, и ещё много у кого американского-стратегического. И как-то терпят такое положение дел.

  • Ответить

    Сотрудник АНБ обязан проверить, как на его код реагируют самые главные антивирусы (если есть ресурсы и дело сурьёзное, то: «все возможные антивирусы»).

    Какая нормальная западная компания, в текущих условиях будет держать на своих ПК софт, имеющий доступ ко всей системе, который из России что-то подтягивает, и в Россию что-то шлёт?

    Какая-какая. Например АНБ. У Касперского же понятная сценка описана (в отчёте). Вирус принципиально держали на контрольной машине, к 2015 году появились ещё несколько похожих машин, которые не было необходимости выделять в какой-то новый подвид зловреда. Всё было ясно и так — «люди работают». Вопрос лишь в том, что американцы умеют и любят в шоу-бизнес, и пока БНД и MИ-6 решают свои вопросы с Кремлём по дипломатическим каналам, АНБ решает их и дипломатическими, и масмедийными, и лоббистскими инструментами.

    Как доказать, что АНБ нужна, хотя после Сноудена ясно, что разведку можно было бы вести и более изобретательно? Правильно. Надо пропечатать во всех вашингтонских газетах, что Америка противостоит противнику необычайной озлобленности, беспринципности и невероятных технических умений.

  • Ответить

    >Надо пропечатать во всех вашингтонских газетах, что Америка противостоит противнику необычайной озлобленности, беспринципности и невероятных технических умений.

    Золотые слова Юрий Винидиктович…. в и этих газетах также надо непрозрачно намекнуть, что для противостояния нужно заправится как следуют, а то основные производственный фонды порядком устарели, триллион другой спасет отца русской демократии АНБ от разгрома злыми русскими.

  • Ответить

    И зачем нужен антивирус который игнорирует «специальные» вирусы ?
    Интересно как Касперски собирается оправдываться перед спецслужбами России: или у него есть локализованные сборки для каждой страны ?

Для добавления комментария войдите или зарегистрируйтесь.