Jeszcze nie umilkły echa komentarzy po ustawie zabraniającej używania oprogramowania Kaspersky Lab w rządowych placówkach na terenie USA (Rosja także potrafi się odgryźć), a już na światło dzienne wypływają kolejne doniesienia o konflikcie pomiędzy rządem USA a rosyjskimi hakerami i firmą Kaspersky Lab.
Wiele amerykańskich serwisów, w tym jako pierwszy Wall Streat Journal, donosi o rosyjskich hakerach pracujących dla rządu, którzy już w 2015 roku mieli dostęp do tajnych dokumentów NSA wykradzionych z domowego komputera pracownika National Security Agency. Nieprawdopodobne w tej historii jest to, że ów pracownik zdołał wykraść (co pewnie nie było trudne) dokumenty zawierające szczegółowe informacje na temat penetracji zagranicznych sieci komputerowych, oprogramowania i narzędzi używanych przez NSA i tak po prostu przechowywał je na domowych komputerze. Za przyczynę wtargnięcia hakerów do komputera pracownika NSA wskazuje się backdoory w oprogramowaniu antywirusowym marki Kaspersky Lab. Jeżeli to jest faktycznie prawdą… I co z tym anonimowym pracownikiem wynoszącym tajne dokumenty z siedziby NSA?
Prawd może być wiele, a każda z nich będzie uwarunkowana punktem siedzenia. Tajemnicą Poliszynela jest, że zwolennicy amerykańskiej polityki, widzą zagrożenie we wszystkim co pochodzi ze wschodu, w szczególności z Rosji i z Chin. Natomiast amerykańskie służby już nie raz udowadniały, że są największym szpiegowskim zagrożeniem dla tego świata. Prawda może leżeć gdzieś pośrodku — skoro Jewgienij Kaspersky, dyrektor wykonawczy firmy Kaspersky Lab, zaproponował rządowi amerykańskiemu wewnętrzny audyt kodu oprogramowania, aby raz na zawsze udowodnić, że oskarżenia o backdoorach są nieprawdzie, to dlaczego rząd USA nie podjął się takich rozmów? Jest to oczywiste — gdyby amerykańscy przedstawiciele strony zgodzili się na audyt, szala prawdy zostałaby przechylona w kierunku firmy Kaspersky Lab i tym samym rząd USA nieformalnie przyznałby się do porażki. Co więcej, gdyby doszło do takich rozmów, to wyłącznie na warunkach amerykańskich. A to oznacza, że eksperci oddelegowani do audytu sprawdziliby bardzo dokładnie różne wersje oprogramowania Kaspersky Lab używanego w tym czasie na komputerach rządowych, oraz w latach poprzednich. Z pewnością Jewgienij Kaspersky decydując się na taką propozycję, brał taki scenariusz pod uwagę.
Zachowując obiektywizm w tej sprawie (o ile to możliwe), podejrzewamy, że incydent zakończył się dla hackerów sukcesem z zupełnie innego powodu:
- Oprogramowanie Kaspersky Lab jest dostępne dla każdego, więc przygotowanie całkowicie niewykrywalnego szkodnika (ang. FUD, Fully Undetectable), mając do dyspozycji najzdolniejszych programistów na świecie, a także wsparcie finansowe, było tylko formalnością.
- Nie możemy odrzucić innej hipotezy: hackerzy mogli wykorzystać znalezione i nieopublikowanie luki w produkcie marki Kaspersky Lab. Badacze bezpieczeństwa, w szczególności ci z Google Project Zero, regularnie znajdują mniejsze lub większe podatności w oprogramowaniu antywirusowym. Czasami nawet nie luki w kodzie, co w niepoprawnej walidacji przez program antywirusowy danych w systemie, który może uruchomić zagrożenie z uprawnieniami administratora.
- Grupa hakerów nieznanego pochodzenia mogła wykorzystać rosyjskie proxy, aby ukryć swoją prawdziwą lokalizację i obwinić incydentem konkurencję z Rosji.
Na obecną chwilę wiadomo tylko tyle, że śledczy podejrzewają, iż oprogramowanie antywirusowe Kaspersky Lab mogło oznaczać specjalnymi tagami narzędzia NSA, które zostały wykryte przez antywirusa jako szkodliwe. Tagi te były znane wyłącznie analitykom rosyjskiej firmy dostarczającej produkty bezpieczeństwa na rynki całego świata. W raporcie stwierdzono, że dysponując takimi danymi oraz anonimowymi informacjami o zagrożeniu z komputera pracownika NSA, badacze Kaspersky Lab mogli zlokalizować tego konkretnego użytkownika oraz przekazać sprawę rosyjskiemu rządowi.
Co kilka głów to nie jedna, dlatego prosimy czytelników, którzy dysponują dodatkowymi informacjami lub ewentualnymi dowodami, które zaświadczą o znalezieniu backdoorów, a więc luk celowo zostawionych przez programistów firmy Kaspersky Lab dla rządowych hackerów, aby podzielili się nimi. Na razie przyjmujemy, że raport opiera się na anonimowych źródłach, ale co najważniejsze, nie dostarcza rzeczowych i technicznych dowodów w tej sprawie.
