Касперский: в 2014 антивирус «Касперского» обезвредил секретный шпионский код американского АНБ

«Лаборатория Касперского» рассказала о случайной находке файла исходного кода вредоносных программ «Equation APT», возможно эксплуатируемых американским АНБ, сообщили ^[1] «Ведомости» со ссылкой на интервью ^[2] Евгения Касперского Associated Press и запись ^[3] в англоязычном блоге антивирусной компании.

Троян, предположительно связанный с АНБ, софт «Лаборатории» нашёл 11 сентября 2014 года. Зловред интегрировался с крэком («таблеткой») для активации пиратских копий Microsoft Office. Последний раз модифицированную разновидность вируса в ЛК детектировали 17 ноября 2014 — на том же самом, «первом» заражённом компьютере.

Троян жил на инфицированном компьютере неизвестно долгое время до первого обнаружения в сентябре. Во время начальной установки шпионской программы антивирус «Касперского» был деактивирован. В 2015 следы вируса ещё встречались в интернете, но детально их не исследовали — «Лаборатория» изучает первый образец кода, а не последующие идентичные копии, и принимает решение:

Аналитики ЛК предположили, что к ним в руки попали засекреченные средства спецслужб. О результатах они доложили руководителю компании Евгению Касперскому. Тот распорядился немедленно стереть эти файлы.

В начале 2015 года «Лаборатория Касперского» выпустила ^[4] сорокастраничный отчёт ^[5] (.pdf, 4 Мб) «Группа Equation в вопросах и ответах». Разработками Equation чаще всего заражались компьютеры в Иране, на втором месте — Россия, затем Пакистан, Афганистан [sic!], Китай, Мали, Сирия, Йемен и Алжир. Целями кибершпионажа становились правительственные и военные структуры, телекоммуникационные и энергетические компании, банки, исследователи, специализирующиеся в ядерной физике, СМИ и исламские активисты.

В июне 2015 «Лаборатория» сообщила ^[6], что она подверглась успешной хакерской атаке — Касперский был уверен, что за атакой стояло некое государство.

В целом ЛК зафиксировал работу вредоноса «Equation APT» в 40 странах. Несколько лет назад, по стандартной для сторон процедуре, «Лаборатория Касперского» информировала соответствующие учреждения правительства США о инфекциях APT в США, сообщила «Лаборатория» в свежей записи в корпоративном блоге.

Касперский заверил АР, что любая засекреченная правительственная информация, которая попадет в компанию, будет немедленно уничтожена. На вопрос, сообщил ли он об инциденте 2014 года в АНБ, Касперский отвечать отказался, — привели подробности интервью «Ведомости».

Неделей ранее глава «Лаборатории Касперского» заявил ^[7]:

в сентябре-октябре в американской прессе была организована откровенная травля нашей компании. На ["Лабораторию Касперского"] обрушился водопад обвинений. Не проходило недели, чтобы очередной медиа-гигант [Wall Street Journal, Washington Post, New York Times, Вloomberg] не выкатил очередной пасквиль про русских хакеров и руку Кремля.

Касперский попинал американские СМИ за обвинения «Лаборатории» без доказательств ^[7]

Обоснованных доказательств шпионской работы на Кремль, по мнению ^[7] Евгения Касперского, перечисленные СМИ не приводят.

История о том, как сотрудник АНБ перенёс шпионский код ведомства на подключённый к обычном интернету компьютер, после чего антивирус ЛК обнаружил трояна в прошлом ^[8] уже звучала, но сама «Лаборатория Касперского», во время противостояния 2017 года с американскими СМИ и, отчасти, с американскими покупателями розничными ^[9] и из госсектора ^[10], не акцентировала внимание на архивном сюжете. Хотя американскому читателю старая история тоже известна.

В феврале 2015 года Reuters изучили отчёт «Лаборатории Касперского». Агентство отметило ^[11], что шпионский софт можно найти на устройствах Western Digital, Seagate, Toshiba (производители жёстких дисков) и других заметных марок. Reuters обратили внимание, что «Касперский» сопоставил новую киберактивность с известным ранее кодом Stuxnet. Эта разработка использовалась для ликвидации установки по обогащению урана в Иране. Reuters связались с бывшим сотрудником АНБ, который подтвердил — «Лаборатория» права, в АНБ одинаково высоко оценивают и Stuxnet, и Equation (кто их автор не уточнялось). Другой разведчик заявил агентству, что АНБ разработала технологию сокрытия шпионских программ на жёстких дисках, но этот разведчик не знал, как именно её использовали. Пресс-секретарь АНБ отказалась комментировать изыскания Reuters. Однако Питер Свайр, один из пяти членов группы Intelligence and Communications Technology при президенте США Бараке Обаме, напомнил Reuters о морали: «отчёт Касперского показывает — перед тем, как использовать уязвимости в ПО для сбора разведывательных данных, государства должны взвесить возможные последствия для торговли и дипломатических отношения» (с 2014 года, после кризиса в Крыму, отношения РФ-США и так прохладные, даже без вирусов).

P. S. В сентябре 2016, Reuters сообщили ^[12], что американское Агентство национальной безопасности (АНБ) возможно само допустило утечку хакерских инструментов, которые использовались при атаке на Национальный демократический комитет и в ряде других громких взломов, в которых обвиняли ^[13] российские спецслужбы. АНБ признало, что один из сотрудников агентства в 2013 году по ошибке допустил утечку служебного ПО. ЦРУ, которое вело расследование, подтвердило, что причиной утечки софта не был ни инсайдер, ни российские хакеры, взламывающие сервера штаб-квартиры АНБ в Форт-Миде в штате Мериленд.