ЛК, русские хакеры и инструменты АНБ

🔐 В твиттере я подписан на ряд иностранных специалистов по ИБ, и мою ленту второй день бомбит от новости о попадании хакерских инструментов АНБ в руки российских спецслужб посредством антивируса Касперского и, как следствие, сотрудничестве ЛК с правительством РФ в этом контексте. Конечно, в США это раскрутило еще один виток истерии на тему русских хакеров.

В истории много белых пятен, и всю правду мы вряд ли узнаем. Я избегаю политики в своих постах, равно как не пользуюсь продуктами ЛК (за исключением встроенного в Сбербанк для Android антивируса :), поэтому озвучу свое мнение о технических аспектах, опираясь на обнародованные факты.

💡 Факты сводятся к тому, что контрактор АНБ вынес с работы хакерские инструменты американской спецслужбы и хранил их на подключенном к интернету личном домашнем ПК, где был установлен антивирусный продукт ЛК.

📢 Дальше озвучиваются не подкрепленные [пока] доказательствами выводы следователей. В частности, они считают, что антивирус ЛК обнаружил хакерские инструменты АНБ. Об этом узнали хакеры и украли секретные данные американской спецслужбы.

Наверное, все так и было – проактивная защита обнаружила подозрительные инструменты и даже залила их в облако ЛК для анализа. А вот как они технически могли попасть в руки хакеров – интересный вопрос.

🔓 ЛК, конечно, отрицает передачу данных третьим лицам. Но при этом нельзя исключать, что на тот момент существовала уязвимость в самом продукте ЛК, позволившая хакерам добраться до данных жертвы. Так, в 2015 году Тавис Орманди, исследователь из Google Project Zero, нашел многочисленные уязвимости в антивирусе ЛК, позволяющие удаленное выполнение вредоносного кода https://googleprojectzero.blogspot.se/2015/09/kaspersky-mo-unpackers-mo-problems.html

Их, конечно, закрыли, но могли остаться другие. Тот же специалист впоследствии нашел аналогичные дыры в антивирусах других вендоров. А поскольку все антивирусы опираются на системные API, не исключены недостатки кода Windows, способствующие появлению уязвимостей.

💣 Допустим, дело не в клиентском АВ. Но ведь внутренняя сеть ЛК (и ряда других компаний) тоже была скомпрометирована чуть ли не на протяжении года (2015-2016), чему способствовала по крайней мере одна уязвимость 0-day в… Microsoft Windows https://arstechnica.com/information-technology/2015/06/stepson-of-stuxnet-stalked-kaspersky-for-months-tapped-iran-nuke-talks/ Точные масштабы взлома мы тоже вряд ли узнаем.

Таким образом, в отсутствие опубликованных доказательств, связь ЛК с русскими хакерами – лишь удобный способ лить воду на мельницу истерии. С тем же успехом инструменты АНБ могли попасть в руки хакеров, связанных с любой страной, благодаря наличию уязвимостей в коде антивируса (необязательно ЛК) или компрометации инфраструктуры ЛК, если говорить именно об этой компании.

Поэтому для меня ключевым моментом в этой истории остается лишь известный факт – сотрудник АНБ перенес секретные данные с работы на домашний ПК 🙈 В этом и заключается главная проблема! А как у него их украли, дело десятое.