Лента TH Новости Глобальные вызовы


Касперский, ЦРУ и WikiLeaks

∴ 105

Организация WikiLeaks опубликовала ряд материалов ЦРУ, посвященных проекту «Улей» (Hive). Проанализировав исходный код специалисты обнаружили, что американское ПО, предназначенное для слежения за компьютером, маскируется под антивирус Касперского.

914

Hive решает критическую проблему для вредоносных программ ЦРУ. Даже самая сложная вредоносная программа может оказаться бесполезной, если нет возможности для удаленного к ней доступа и взаимодействия, что не привлекает внимания пользователя. Но даже если программа Hive будет обнаружена пользователем, очень сложно соотнести ее с ЦРУ.

На первый взгляд, программа имеет много общего с другим вирусным ПО, которое пользователь мог подхватить в интернете. Hive предоставляет скрытую коммуникационную платформу для целого ряда вредоносных программ ЦРУ. ПО создано для перехвата и отправки на серверы ЦРУ востребованной информации и получения новых инструкций от операторов в ЦРУ.

Hive может выполнить несколько взаимосвязанных операций с использованием нескольких зараженных компьютеров. Каждая операция анонимно регистрирует, по крайней мере, один домен (например, «perfect-boring-looking-domain.com») для собственного использования. Сервер, на котором работает веб-сайт домена, снимается с коммерческих хостинг-провайдеров как VPS (виртуальный частный сервер), и его программное обеспечение настраивается в соответствии со спецификациями ЦРУ. Эти серверы являются открытой для сторонних сторон инфраструктурой ЦРУ и выступают в качестве передатчиков для трафика HTTP (S) по VPN-соединению со «скрытым» ЦРУ-сервером под названием «Блот».

Единственная особенность не видна обычным пользователям – опция HTTPS-сервера, которая широко не используется: дополнительная аутентификация клиента. Но Hive использует необычную опционную аутентификацию клиента, так что пользователю, просматривающему веб-сайт, не требуется аутентификация. Но пользователи зараженных компьютеров находятся на прямой линии с сервером Blot и не подозревают об этом. Трафик от них отправляется на шлюз управления отслеживая все, что делает пользователь.

Цифровые сертификаты для аутентификации зараженных пользователей генерируются ЦРУ, олицетворяя существующие компании. Три примера, включенные в исходный код, создают поддельный сертификат для антивирусной компании «Лаборатория Касперского», Москва, притворяясь подписью Thawte Premium Server CA, Кейптаун. Таким образом, любой внешний аудит заметит, что данные сливаются не в ЦРУ а в российскую компанию.

Этим вопросом заинтересовалось высшее руководство компании «Лаборатория Касперского». Они повторно проанализировали код и признали, что действительно американское ПО, способно маскироваться под сертификаты Касперского, прикрывая ЦРУ.

Это не первый раз, когда WikiLeaks‏ вскрывает государственные тайны. Более того, деятельность WikiLeaks‏ становится все значительней, с учетом того как развиваются технологии и растет вал возможностей, для частных и государственных лиц.

Филипп Дончев