Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Notikumi » Kā antivīrusi ķer specdienestu vīrusus?

Kā antivīrusi ķer specdienestu vīrusus?

Drošības industrijā nav termina “specdienestu vīrusi”, tomēr ļaunprogrammatūras klāstā var izdalīt īpašu klasi, kas atšķiras ar tehnoloģisku izsmalcinātību, sarežģītību un acīmredzamu izstrādes dārdzību. Nav šaubu, ka aiz šiem ļaunprogrammatūras šedevriem stāv dažādu valstu specdienesti. Daudzas no šādām ļaunprogrammām ar lielāku vai mazāku ticamības pakāpi tiek saistītas ar noteiktu izcelsmes valsti vai reģionu.

Tā nu ir sanācis, ka tieši kompānija Kaspersky Lab ir īpaši aktīva šauri mērķētu un tehnoloģiski sarežģītu uzbrukumu atklāšanā. Var pat teikt, ka tā ir viena no šīs kompānijas specializācijām, jo tās eksperti ir gatavi ar savu kompetenci un pieredzi izmeklēt vissarežģītākos uzbrukumus un pievienot tos jau desmitiem citu izpētīto. Jāpiebilst, ka kompānijas dibinātājs Jevgēņijs Kasperskis ne vienreiz vien ir paudis viedokli, ka jāatklāj ir viss neatkarīgi no izcelsmes un piederības. Agri vai vēlu šai nostājai pareizinātai ar Kaspersky Lab līderību antivīrusu tehnoloģijās neizbēgami vajadzēja nonākt zināmā konfliktā ar tiem spēkiem, kas stāv aiz valsts līmeņa spiegošanas vai sabotāžas kiberuzbrukumiem.

Paskatīsimies uz to, kā ir attīstījušies notikumi. Un tā, 2015. gada 16. februārī Kaspersky Lab nāca klajā ar oficiālu preses ziņu “Equation Group: The Crown Creator of Cyber-Espionage”, ko pavadīja tehniskās analīzes publikācija kompānijas analītiskajā vietnē Securelist.com ar nosaukumu “Equation: The Death Star of Malware Galaxy“. Publikācijās ir apskatīts  kiberspiegošanas rīku kopums, kas ticis attīstīts ilgā laika posmā un izmantots pret mērķiem visā pasaulē visdažādākajās nozarēs: valstu un diplomātisko iestāžu; telekomunikāciju; kosmosa; enerģētikas; kodolpētījumu; naftas un dabasgāzes; militārajā; nanotehnoloģiju; masu mēdiju; transporta; finanšu un citās.

2015. gada 19. martā ziņu aģentūra Bloomberg izlaida ļoti diskutablā līmenī sagatavotu ziņu, kurā apvainoja Kaspersky Lab, ka tā aktīvi atklājot ar ASV, Izraēlu un Apvienoto Karalisti saistāmas kiberspiegošanas kampaņas, un tajā pašā laikā pieverot acis uz kampaņām, kuru izcelsmi potenciāli varētu saistīt ar Krieviju. Kā piemērus Bloomberg minēja to pašu Equation Group, kuras izcelsme pēc analītiķu domām esot saistāma ar ASV, un spiegu programmatūru Sofacy, kura esot saistāma ar Krieviju un kuru aprakstīja kompānija FireEye. Bez visa tā Bloomberg ziņā ietverts arī “samazgu spainītis” par specdienestu tēmu, ko Kaspersky Lab oficiālā atbildes informācijā diplomātiski nosauca drīzāk par viedokli nekā uz faktiem balstītu informāciju. Ko par to visu domā pats Jevgēņijs Kasperskis, jebkurš var izlasīt viņa blogā. Garajā un emocionālajā bloga ierakstā var atrast arī pagaru sarakstu ar Kaspersky Lab atklātajām spiegošanas kampaņām, kuras tiek piedēvētas Krievijai, kas padara Bloomberg apvainojumus, maigi izsakoties, nepamatotus. Par minēto ļaunprogrammu Sofacy Jevgēņijs Kasperskis paskaidro, ka kolēģi no FireEye jau pirms viņiem bija paveikuši lielisku darbu un dublēt to nebija nekādas jēgas.

Jāsaka, tā nav pirmā reize, kad rietumu mediji vai nu sensāciju meklējumos, vai citu iemeslu dēļ izmēģina saistīt Jevgēņiju Kasperski ar specdienestiem. Lai gan internetā viegli ir atrodama informācija, kur Jevgēņijs Kasperskis ir mācījies un strādājis, konkurenti un visāda kalibra “eksperti” atkal un atkal mēģina spekulēt ar šo tēmu. 2008. gada sākumā to izmēģināja britu The Guardian, kā rezultātā laikrakstam nācās publicēt papildus skaidrojumu, ka Jevgēņijs Kasperskis nekad nav bijis KGB darbinieks.

Tiktāl par notikumiem un to, ko kurš ir teicis. Tomēr vārdi ir tikai vārdi un vienmēr ir jāskatās uz darbiem. Tāpēc īsi pēc aprakstītajiem šī gada notikumiem es veicu kādu datu apkopojumu, kurš var ienest zināmu skaidrību par to, kas ir kas īstenībā. Es nolēmu palūkoties, kā tad dažādi antivīrusi reaģē uz Bloomberg aģentūras minēto spiegošanas rīku Equation un Sofacy programmatūras komponentēm. Atgādināšu, ka pirmā tiek piedēvēta ASV, bet otra Krievijai. Skaidrs, ka pašu programmatūras paraugu manā rīcībā nebija, jo valsts līmeņa spiegošanas rīki nemētājas apkārt. Toties internetā ir brīvi pieejami šo rīku apraksti, kuros visām komponentēm ir dotas MD5 kontrolsummas. Savam pētījumam es izmantoju antivīrusu industrijā labi zināmo servisu VirusTotal.com. Šis projekts apmeklētājiem ļauj noskenēt failus ar vairākiem desmitiem antivīrusu skeneru. Tomēr tam ir arī interesantas papildus funkcijas un viena no tām ar zināmu MD5 kontrolsummu ļauj izsaukt kontrolsummai atbilstošā faila skenēšanas rezultātus. Man paveicās. Izrādījās, ka gandrīz visas minēto spiegošanas rīku komponentes bija tikušas skenētas, turklāt vēl pirms aģentūras Bloomberg diskutablās ziņas, kas nozīmē, ka dati nav tās ietekmēti.

 

Krievijai piedēvētās spiegošanas programmatūras Sofacy komponenšu detektēšanas rezultāti servisā VirusTotal.com pirms aģentūras Bloomberg ziņas šī gada 19. martā (katra kolonna tabulā atbilst vienai komponentei, bet zaļie lauciņi nozīmē, ka atbilstošais antivīrusu skeneris to atklāj).

 

ASV piedēvētās spiegošanas programmatūras Equation komponenšu detektēšanas rezultāti servisā VirusTotal.com pirms aģentūras Bloomberg ziņas šī gada 19. martā (katra kolonna tabulā atbilst vienai komponentei, bet zaļie lauciņi nozīmē, ka atbilstošais antivīrusu skeneris to atklāj).

 

Ko tad mēs redzam no skenēšanas rezutātu apkopojumu tabulām? Viens, kas uzreiz krīt acīs, ASV piedēvētās spiegošanas programmatūras Equation komponentes tiek detektētas daudz mazākā skaitā salīdzinājumā ar Sofacy. Negribu attīstīt sazvērestības teorijas, bet te noteikti ir pamats palūkoties, kas notiek ar citiem spiegošanas rīkiem. Nu un pats galvenais, Kaspersky Lab izrādījās vienīgā kompānija, kuras antivīrusu skeneris detektēja visas, gan ASV, gan Krievijas pusei piedēvētās, spiegu programmatūras komponentes.

Skaidrs, ka šāda Kaspersky Lab centība ne tikai valstiskā līmeņa spiegošanas programmu detektēšanā, bet arī to izpētē un datu publiskošanā nevar palikt nepamanīta. Iespējams, ka pamazām ir nobriedis konflikts. No vienas puses ir antivīrusu kompānija, kuras vadītājs sola nepievērt acis uz kādu konkrētu programmu un, šķiet, ka to arī konsekventi dara. No otras puses ir valstu specdienesti, kas iegulda ievērojamus līdzekļus spiegošanas rīku attīstībā un kampaņu organizēšanā. Iespējams, ka gadījums ar aģentūras Bloomberg diskutablo ziņu ir tikai savdabīgs pirmais brīdinājums, jo nupat, šķiet, ir izdarīts nākošais mēģinājums graut Kaspersky Lab reputāciju.

Nesen aģentūra Reuters izplatīja ziņu, kurā tiek pasniegta informācija no anonīmiem avotiem, saskaņā ar kuru teikto Kaspersky Lab esot pielietojusi negodīgas metodes pret saviem konkurentiem. Kaspersky Lab jau ir nopublicējusi atspēkojošu paziņojumu, bet izdevums The Register savdabīgā aģentūras Reuters “sensāciju” izņirgājošā stilā uzrakstītā raksta beigās jautā, vai būtu iespējams, ka pret Kaspersky Lab notiek nomelnojoša kampaņa. Tiešu norāžu uz to nav, tomēr divi gadījumi pietiekoši īsā laikā liek aizdomāties. Abos gadījumos ziņās nefigurē nekādi pierādījumi, bet kā “sensacionālās” informācijas daļas avoti tiek minēti bijušie Kaspersky Lab darbinieki, kuri gribot palikt anonīmi.

Kamēr Bloomberg ziņa vairāk vai mazāk pieder pagātnei, tikmēr Reuters “sensācija” vēl ir pavisam svaiga un es pie tās atgriezīšos ar atsevišķu rakstu jau pavisam drīz, jo tā ļaus mums paskatīties uz svarīgiem procesiem antivīrusu industrijā un izdarīt secinājumus, kas varētu būt svarīgi ikvienam interneta lietotājam. Jā, un cerēsim, ka mums visiem tomēr paliks pieejams antivīruss, kas nešķiro spiegošanas programmas, atklājot tās.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 2 = 8

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu