Сергій Добринін
Цієї осені продукти «Лабораторії Касперського» – найбільшого у світі виробника антивірусного програмного забезпечення, окраси і гордості російської IT-індустрії – потрапили під заборону в державних агентствах США. Услід за цим Касперський може втратити значну частину свого американського і західноєвропейського ринку, який приносить компанії понад 60 відсотків продажів. «Лабораторія Касперського» стала «токсичною», і не тільки тому, що відносини між Росією і США переживають складні часи, а російські хакери стали однією з головних страшилок на Заході. Російська компанія вже понад 7 років старанно збирає інформацію про кіберзброю США, Ізраїлю і Великобританії, публікує аналітичні звіти про неї і пропонує способи захисту. І це давно і багатьох дратувало.
Другу частину розслідування, про те, як розгорталася перша світова кібервійна, яку роль відіграла в ній «Лабораторія Касперського» і що могло статися з секретним архівом, який потрапив до неї, читайте тут.
«Лабораторія Касперського» отримала – навмисно чи ні – вихідний код вірусів, створених Агентством національної безпеки США, і, як вважають деякі експерти, взяла участь у зливі, який завдав найбільшої шкоди репутації американської розвідки та національної безпеки США, ніж Едвард Сноуден. Чи працює Касперський на ФСБ Росії, чи занадто далеко зайшов у своєму ідеалізмі? Чи допоміг він творцям вірусів-вимагачів WannaCry, чи все-таки стер секретні документи, котрі випадково потрапили йому до рук? Розбираємося з історією першої світової кібервійни, яка триває вже десять років, в матеріалі, розділеному на дві частини (друга частина доступна тут).
У середині березня 2015 року один популярний російський тревел-блогер прилетів на Хайнань – тропічний острів на півдні Китаю. Кілька днів поспіль він публікував фотозвіти про відвідування національних парків штату Юта в США, але 19 березня замість одноманітних червоних скель з піщанику в черговому пості опинився скріншот статті з видання Bloomberg Businessweek з фотографією самого автора: «Компанія, якій ви довіряєте безпеку вашого інтернету, має тісні зв'язки з російськими шпигунами», – застерігає заголовок над його головою. Блогера звали Євген Касперський, в замітці йшлося про його дітище – «Лабораторію Касперського» (далі «ЛК» – ред.), що входила на той момент до топ-10 антивірусних компаній світу.
Касперський вважав, що розкопані Bloomberg докази зв'язків «ЛК» і російських спецслужб непереконливі. З посиланням на анонімні джерела автори статті повідомили, що Євген Касперський, випускник Вищої школи КДБ, щотижня відвідує лазню в компанії співробітників російських спецслужб, що після невдалого у 2012 році партнерства щодо IPO з американською інвестиційною фірмою General Atlantic зв'язки «ЛК» з ФСБ стали тіснішими і в компанії ввели мораторій на наймання іноземних топ-менеджерів. Нарешті, що заступник голови компанії з юридичних питань Ігор Чекунов – ліазон «Лабораторії Касперського» з російськими силовиками і керує в компанії спеціальним відділом, що надає технічну підтримку ФСБ.
У матеріалі Bloomberg не було нічого про дві події, які до того моменту вже відбулися, але до преси потрапили тільки через два з половиною роки. У 2014 році у Касперського опинилися секретні файли Агентства національної безпеки США, а внутрішню мережу компанії зламали ізраїльські спецслужби.
Але Bloomberg написав не про це, а про лазню, і замітка не стала серйозним ударом по заокеанському бізнесу «ЛК»: створені компанією програмні продукти використовувалися майже в 20 державних агентствах США, включаючи Держдепартамент, Міністерство оборони, Міністерство юстиції, армію, флот і військово-повітряні сили. СШA і країни Західної Європи приносили Касперському понад 60 відсотків світових продажів. Усе змінилося наприкінці весни 2017 року, коли поєднання слів «Росія» і «кібербезпека» стало стійко асоціюватися з ймовірним втручанням російських хакерів в перебіг президентських виборів в США.
11 травня 2017 року в сенатському комітеті з розвідувальної діяльності відбулися слухання, в яких взяли участь керівники ФБР, ЦРУ, АНБ та інших силових агентств США. Йшлося про російських хакерів (на запитання, чи втрутився Кремль в передвиборчі перегони в США за допомогою комп'ютерних зламів, пролунала гуртова відповідь «так»), але на 42-й хвилині слухань сенатор-республіканець з Флориди Марко Рубіо поцікавився, чи довіряють топи розвідувальних органів продуктам «ЛК». Усі шестеро відповіли «ні». Запитання Рубіо пролунало досить несподівано; можливо, він поставив його на прохання когось із запрошених на слухання силовиків. Так чи інакше, саме з цього моменту у російської компанії на ринку США почалися серйозні проблеми.
Того ж дня, 11 травня, сам Євген Касперський, відповідаючи на запитання читачів популярного ресурсу Rеddit, заявив, що обмін репліками на слуханнях викликаний політичними причинами, які «позбавляють цих джентльменів можливості скористатися найкращою системою безпеки на ринку без будь-яких реальних причин чи недоліків з нашого боку». Касперський зауважив, що готовий особисто дати свідчення в американському Сенаті (забігаючи уперед: участь російського підприємця в сенатських слуханнях досі так і не відбулася, але все ще обговорюється).
Після травневих слухань можна було припустити, що «ЛК» стала ледь не випадковою жертвою настороженості американських чиновників і ЗМІ щодо всього кіберросійского. Сам Євген Касперський натякав на це регулярно. І причини перейматися у нього були: пізно ввечері 28 червня до особистих будинків декількох співробітників американського офісу «ЛК» прийшли агенти ФБР, які наполегливо цікавилися деталями функціонування компанії у США. 5 липня в Сенаті запропонували не включати закупівлю продуктів «ЛК» в оборонний бюджет на наступний рік. 11 липня агентство Bloomberg (той же автор, який запустив у 2015 році «лазнягейт») опублікувало нове розслідування – з матеріалів, які стосуються внутрішнього інформаційного обміну і потрапили до рук журналістів, випливало, що «ЛК» бере участь в розробці анти-DDoS-систем на замовлення ФСБ, а співробітники беруть участь в рейдах силовиків (Касперський підтвердив справжність листування, але відкинув інтерпретацію, зроблену журналістами).
Уже 12 липня General Services Administration, агентство, яке зокрема, відповідає за держзакупівлі, виключило «ЛК» зі списку авторизованих постачальників для американських держорганів. На початку осені продукти «ЛК» зникли з полиць найбільшого американського рітейлера Best Buy. Нарешті 13 вересня Департамент внутрішньої безпеки випускає директиву, яка вимагає від усіх федеральних агентств США припинити використання ПЗ Касперського протягом 90 днів.
Мотивація цього бану – «занепокоєння зв'язками деяких представників Касперського і російських розвідслужб та вимоги російського закону, які дозволяють російській владі примушувати «ЛК» до співпраці і отримувати доступ до даних в російських мережах». Це недвозначне посилання на опубліковане влітку розслідування Bloomberg – більш переконливе в порівнянні з «лазнягейтом» 2015 року. Цього разу до рук журналістів Джордана Робінсона і Марка Райлі потрапила внутрішня переписка співробітників «ЛК». У листах 2009 року йшлося про роботу над системою, здатною захистити клієнтів, зокрема урядові структури, від DDoS-атак, але в проекті є і «секретна частина» – пошук джерел атаки за допомогою хостингових компаній і розробка «активних заходів у відповідь» . Джерело видання заявило, що ці заходи – не тільки атака на хакерів, але і фізична участь фахівців «ЛК» в рейдах ФСБ. В одному з листів сам Євген Касперський зазначає, що проект розробляється на «велике прохання з боку Луб'янки». У компанії підтвердили справжність листування (але не факт участі фахівців в рейдах ФСБ), і на цій підставі видання зробило висновок, що «ЛК» підтримує набагато ближчі робочі відносини з ФСБ, ніж визнає публічно».
Отже, всього за чотири місяці, що минули після нібито випадкового запитання Марка Рубіо про довіру до «ЛК» на сенатських слуханнях, компанія де-факто втратила доступ на ринок держструктур США. Так само, як і федеральні агентства, можуть зробити їхні численні підрядники, відмовившись від російського антивірусу, а услід за ними й інший американський та західноєвропейський бізнес і приватні особи. І все це – через походи до лазні зі співробітниками ФСБ та роботу над системою, яка захищає від хакерських атак? Представники Департаменту внутрішньої безпеки США зізналися, що ухвалили рішення про бан – заборону – продуктів Касперського «здебільшого на основі публічної інформації». Отже, Касперський правий, і його американський бізнес страждає від «маккартизму», протекціонізму і загальної атмосфери недовіри до Росії, особливо в інформаційній сфері?
У жовтні 2017 року нарешті з'явилося більш переконливе пояснення недовіри американської розвідки до Касперського. Із 5 до 11 жовтня у виданнях Wall Street Journal і New York Times вийшла серія публікацій, у яких стверджується, що продукт «ЛК», встановлений на комп'ютері у неназваного підрядника Агентства національної безпеки США, скачав на сервер «Лабораторії Касперського» секретні файли АНБ. Колишні американські розвідники розповіли журналістам, що ізраїльські спецслужби, які зламали внутрішню мережу «Лабораторії Касперського» ще на початку 2014 року, повідомили США, що антивірус Касперського використовується для завантаження секретної інформації, причому нібито пошук цікавих файлів програма здійснювала за ключовими словами на кшталт top secret. Розвідники навіть спеціально розставили кілька своєрідних приманок, розмістивши на комп'ютерах зі встановленим російським антивірусом файли, схожі на секретні, і антивірус, за їхніми словами, на ці приманки «клюнув». Співрозмовники журналістів назвали те, що трапилося, актом шпигунства проти США і припустили, що секретні матеріали були вкрадені «Лабораторією Касперського» за прямим завданням або у будь-якому разі в інтересах російських спецслужб. Саме ця інформація, яку американська розвідка мала у своєму розпорядженні щонайменше з 2015 року, була приводом відповісти «ні» на запитання сенатора Рубіо про довіру до «Лабораторії Касперського», поставлене на сенатських слуханнях навесні 2017 року.
У Євгена Касперського є своя версія розвитку подій. Якось пізно восени 2014 року до нього в кабінет прийшов вірусний аналітик. У мережу компанії, призначену для збору і аналізу потенційно шкідливого програмного забезпечення, були завантажені файли, класифіковані системою як шкідливі і пов'язані з діяльністю хакерського угруповання Equation Group. Один з файлів виявився 7zip-архівом, а всередині нього аналітик виявив вихідні коди шкідливих програм (або, на жаргоні фахівців в комп'ютерній безпеці, «малварі» – від англійського malware) і чотири текстових документи у форматі Word. Із заголовків співробітник лабораторії зрозумів, що файли мають гриф секретності, і повідомив про це генеральному директору.
Євген Касперський каже, що для нього відразу стало очевидно, що файли пов'язані з АНБ – Агентством національної безпеки США. Уже кілька місяців «ЛК» старанно розшукувала і аналізувала шкідливе ПЗ конкретного типу і, як припускали фахівці, конкретного авторства. На початку 2015 року Касперський збирався розповісти всьому світу про результати цієї роботи – про виявлення «найбільш просунутого шкідливого актора, якого коли-небудь зустрічала «ЛК». Для нього всередині компанії вже придумали помітну назву – Equation Group. Мабуть, замість цього пасувала б й інша назва – «Ті, кого не можна називати». «Чи знали вони, що Equation – це спецслужби? Так, всі експерти це розуміли», – говорить фахівець з комп'ютерної безпеки Андрій Споров. Усе вказувало на те, що насправді фахівці Касперського виявили не хакерське злочинне угрупування, а сліди діяльності кіберпідрозділу американської розвідки.
«Ми не займаємося атрибуцією і не знаємо, яка саме організація розробила це, – пояснює Євген Касперський. – Але з огляду на те, що ми аналізували «малварі» вже багато місяців, знали надзвичайну складність і повну відсутність фінансової мотивації у авторів. Хто може розробляти складне шкідливе ПЗ при цьому без мети заробити грошей? Ми були впевнені, що за розробкою стоять не просто кіберзлочинці. І тому, побачивши слова «конфіденційно», я повірив, що це дійсно так».
Отже, секретні файли справді опинилися в «Лабораторії Касперського» (щоправда, у 2014-му, а не в 2015 році, як стверджується в матеріалах WSJ). І ізраїльські спецслужби могли про це знати, тому що вони справді зламали внутрішню мережу компанії. Про цю атаку сама «Лабораторія Касперського» офіційно повідомила ще в червні 2015 року. Зараження почалося з комп'ютера співробітника одного з невеликих офісів «Лабораторії» в Азіатсько-Тихоокеанському регіоні і сталося, найімовірніше, через фішинговий лист. Компанія відразу класифікувала атаку як «державну»: «Коли складне шкідливе ПЗ намагається атакувати компанію або будь-яку організацію не для крадіжки грошей, то значить, у злочинців інша мотивація, тобто шпигунство. Дорогі операції частіше спонсоруються кимось, хто зацікавлений в доступі до конфіденційної інформації, а саме державою», – пояснює Євген Касперський. Крім «Лабораторії Касперського», жертвами атаки (фахівці прозвали її Duqu2.0 за схожість з вірусом Duqu, про який буде розказано пізніше) стали кілька готелів і конференц-залів в Швейцарії, Австрії та Омані, в яких у 2014 році відбивалися переговори міжнародної групи «5+1» щодо іранської ядерної програми. Це, як і багато інших обставин, вказувало на те, що держава, яка стоїть за атакою – та, яку на ці переговори не запросили, тобто Ізраїль.
«У ініціаторів Duqu 2.0, імовірно, була можливість відслідковувати наші дії, зокрема спостерігати завантаження цього [який містить секретні файли АНБ] архіву», – визнає Євген Касперський. Невдовзі після того, як «Лабораторія Касперського» оприлюднила свої дані про Equation Group, антивірусна система виявила кілька комп'ютерів, заражених шкідливим ПЗ від цієї групи, причому їхні IP були в тому ж діапазоні, що і у машини, з якої був завантажений секретний архів. «Уже заднім числом ми розуміємо, що це, швидше за все, були приманки», – говорить Касперський. Таким чином і факт «лову на живця», про який розповіли джерела WSJ і NYT, підтверджується.
Отже, секретний архів завантажений був, атака на «ЛК» ізраїльськими спецслужбами теж була – з цим згоден сам Євген Касперський. Розбіжності починаються далі: по-перше, як саме секретні файли АНБ були завантажені в мережу Kaspersky Security Network – випадково чи навмисно? А по-друге, що сталося з секретними документами після того, як вони опинилися у «ЛК»?
Версія Касперського така. Пряме завдання антивірусу – шукати «малварі». І якщо так сталося, що у когось на комп'ютері знайшлися віруси не тому, що він був ними заражений, а тому що власник їх розробляв, чи можна звинувачувати в цьому антивірус?
У «попередньому звіті», опублікованому «ЛК» 25 жовтня (і в його остаточному варіанті, який компанія оприлюднила 16 листопада) у відповідь на статті в WSJ і NYT, стверджується, що секретні файли були завантажені в мережу «ЛК» у період з 11 вересня по 17 листопада 2014 року під час нормативної роботи домашнього антивірусу, встановленого на комп'ютер на території США. У налаштуваннях такого антивірусу можна включити функцію, яка автоматично сканує пам'ять комп'ютера і завантажує в хмарне сховище Kaspersky Security Network зразки потенційно шкідливих програм для подальшого аналізу. І у американського користувача ця функція була активована, тобто користувач сам надав російській компанії досить широкий доступ до своїх даних. Антивірус відправив у свою мережу архів, що містить «малварі», а, крім бінарних файлів, у ньому опинилися вихідні коди хакерських документів і текстові документи – так вони і потрапили до компанію, якщо вірити в цю версію.
Джерела, згадані в статтях WSJ і NYT, стверджують, що все було не так, і антивірус навмисно розшукував секретні документи, причому з особливою підступністю – за ключовими словами на кшталт top secret і classified. Євген Касперський це категорично заперечує: «Наше внутрішнє розслідування показало, що в «Лабораторії» ніколи не проводилося детектування документів за ключовими словами типу «конфіденційно» або «цілком таємно», – заявив він Радіо Свобода. Але відповідь виглядає дещо ухильною: «Технічно для вендора немає нічого простішого, ніж вставити в систему пошуку рядок на кшталт «TS //.*NOFORN» в заголовках документів і таким чином детектувати файли, позначені ТOP SECRET із застереженням «Не для іноземних громадян», – зауважує Ніколас Вівер, дослідник в галузі комп'ютерної безпеки з Міжнародного інституту комп'ютерних наук Каліфорнійського університету Берклі, США. Однак Вівер одразу ж підкреслює, що ніяких публічних доказів, що «ЛК» або інший антивірусний вендор колись вдавалися до такого методу, немає. Швидше за все, фраза про те, що антивірус Касперського міг шукати секретні файли за такими ключовими словами, є наслідком неправильно зрозумілої фрази джерела, яка потім перетворилася на журналістський фольклор. А ось шукати за назвами секретних проектів АНБ, оприлюднених в зливах Сноудена, сенс був.
Так вважає, наприклад, Шон Таунсенд, незалежний дослідник в галузі інформаційної безпеки, учасник і спікер Українського кіберальянсу: «Лабораторія Касперського» розшукувала вихідні коди цілеспрямовано, наприклад, за каталогом проектів та інструментів АНБ, опублікованому Едвардом Сноуденом після втечі в грудні 2013 року. «Шукав довго, близько року, – упевнений український дослідник. – Знайшов комп'ютер у США, де потрібна інформація була, і злив все до себе». В «Попередньому звіті» «Лабораторії Касперського» Таунсенд бачить кілька технічних розбіжностей, наприклад, його дивує заява фахівців, що архів, який містив секретні файли, був завантажений в мережу Касперського, тому що був визначений як шкідливий. «Остання уразливість в архіваторі 7zip була виявлена в 2009 році. Ця відмазка потрібна для того, щоб пояснити, чому був завантажений в «Лабораторію» весь архів повністю, а не окремий файл», – припускає український експерт. Ось ще одна розбіжність: у звіті детально описано, що комп'ютер, з якого антивірус завантажив секретний архів, був заражений вірусом-троянцем Mokes через піратський генератор ключів для Microsoft Office, і саме це нібито привернуло особливу увагу аналітиків Касперського. Таунсенд каже, що подібні інфекції досить тривіальні й зацікавити фахівців не могли, хоча фахівці «Касперського» підкреслили факт цього зараження, натякаючи, що до комп'ютера з секретними файлами могли мати доступ і творці бекдора Mokes, який пов'язують з Китаєм. В цілому ж Таунсенд називає внутрішнє розслідування компанії незграбною спробою відхреститися від звинувачень у шпигунстві.
Другий спірний момент – що сталося з секретними файлами, зокрема з вихідними кодами «малварі» Equation Group, коли вони опинилися у Касперського. Сам він стверджує, що вони були негайно вилучені за його прямою вказівкою. Тепер, говорить Касперський, в компанії навіть введено внутрішнє правило, що пропонує відразу видаляти будь-які потенційно секретні матеріали, які можуть бути випадково виявлені вірусними аналітиками компанії.
Ось в це готові повірити не всі. «Звіт Касперського звучить переконливо, але з одним величезним винятком, – зауважує Ніколас Вівер. – Якщо він отримав вихідний код інструментів АНБ, він би нізащо не знищив копії. Володіння кодами дає величезну перевагу: шкідливе ПЗ в принципі працює тому, що його складно відрізнити від безпечного, антивірусам доводиться покладатися на евристичні техніки, які не завжди працюють. Тому будь-який антивірусний вендор мріє роздобути вихідні коди».
Навіть якщо вихідні коди трапилися Касперському випадково, видаляти їх не було сенсу, але що, якщо це саме те, за чим аналітики з якихось причин полювали? Витоку вихідних кодів кіберзброї, розробленої АНБ США, в мережу Касперського передувала подія, про яку говорять як про таку, що завдала більшої шкоди національній безпеці США, ніж діяльність Едварда Сноудена. Чи не занадто гарний збіг? Влітку 2016 року американська кіберзброя з'явилася на відкритому ринку, а трохи пізніше за її допомогою невідомими хакерами були завдані перші удари. Якою могла бути роль «Лабораторії Касперського»?
Для того, щоб розібратися в цьому, потрібно згадати історію справжнісінької кібервійни, яка триває у світі ось уже десять років. У ній використовують зброю вартістю в мільйони доларів, яка завдає не тільки віртуальних, але і реальних руйнувань. Її учасників всі знають, але ніхто не може назвати офіційно. Її наслідки небезпечно недооцінювати.
Про цю війну і про роль у ній «Лабораторії Касперського» читайте в другій частині нашого розслідування.
Оригінал матеріалу – на сайті Російської редакції Радіо Свобода