Этой осенью продукты "Лаборатории Касперского" – крупнейшего в мире производителя антивирусного программного обеспечения, красы и гордости российской IT-индустрии – попали под запрет в государственных агентствах США. Вслед за этим Касперский может потерять значительную часть своего американского и западноевропейского рынка, который приносит компании более 60 процентов продаж. "Лаборатория Касперского" стала токсичной, и не только потому, что отношения между Россией и США переживают сложные времена, а русские хакеры стали одной из главных страшилок на Западе. Российская компания уже больше 7 лет старательно собирает информацию о кибероружии США, Израиля и Великобритании, публикует аналитические отчеты о нем и предлагает способы защиты. И это давно и многих раздражало.
Вторую часть расследования, о том, как разворачивалась первая мировая кибервойна, какую роль сыграла в нее "Лаборатория Касперского" и что могло случиться с попавшим к ней секретным архивом читайте здесь.
"Лаборатория Касперского" получила – преднамеренно или нет – исходный код вирусов, созданных Агентством национальной безопасности США, и, как считают некоторые эксперты, поучаствовала в сливе, который нанес больший ущерб репутации американской разведки и национальной безопасности США, чем Эдвард Сноуден. Работает ли Касперский на ФСБ или слишком далеко зашел в своем идеализме? Помог ли он создателям вирусов-вымогателей WannaCry или все-таки стер случайно попавшие в его руки секретные документы? Разбираемся с историей первой мировой кибервойны, длящейся уже десять лет, в материале, разделенном на две части.
От бани до бана
В середине марта 2015 года один популярный российский тревел-блогер прилетел на Хайнань – тропический остров на юге Китая, на пляжах которого состоятельный путешественник регулярно с конца 2000-х устраивал себе короткие передышки от бесконечных перелетов и рабочих встреч. Вот уже несколько дней подряд блогер публиковал фотоотчеты о посещении национальных парков штата Юта в США, но 19 марта вместо однообразных красных скал из песчаника в очередном посте оказался скриншот статьи из издания Bloomberg Businessweek с фотографией самого автора: уперев руки в бока, он из-под густых кустистых бровей уверенно смотрит в объектив. "Компания, которой вы доверяете безопасность вашего интернета, имеет тесные связи с русскими шпионами", – предостерегает заголовок над его головой. Блогера звали Евгений Касперский, в заметке шла речь о его детище – "Лаборатории Касперского", входящей на тот момент в топ-10 антивирусных компаний мира. Кстати, блог Касперского, заполненный в основном фотографиями из путешествий, сейчас занимает в ЖЖ 346-е место по популярности.
"Я немного был в озлоблении, потом в удивлении, потом в непонятках.. Короче, эмоции танцевали джанго-джанго и пели при этом рэп. – ... а ведь на море, под пальмами, и под мягким мартовским солнышком, пробежавшись рано утром по пляжу, приятно позавтракав настоящей китайчатиной – ай! – ах как хотелось бы продолжить.... чтобы немного отпустить мозг, расслабить тело, и еще денёк полежать.. А хрен тебе, дорогой господин хороший. На тебе порцию говна!" – иронизировал писавший это из номера курортного отеля Marriott Касперский. Он посчитал, что раскопанные Bloomberg доказательства связей ЛК и российских спецслужб неубедительны. Со ссылкой на анонимные источники авторы статьи сообщили, что Евгений Касперский, выпускник Высшей школы КГБ, еженедельно посещает баню в компании с сотрудниками российских спецслужб, что после несостоявшегося в 2012 году партнерства по IPO с американской инвестиционной фирмой General Atlantic связи ЛК с ФСБ стали более тесными и в компании ввели мораторий на наем иностранных топ-менеджеров. Наконец, что замглавы компании по юридическим вопросам Игорь Чекунов – лиазон "Лаборатории Касперского" с российскими силовиками и руководит в компании специальным отделом, оказывающим техническую поддержку ФСБ.
"Серьёзное новостное агентство Блумберг искало связь с "русскими шпионами" – и нашло только... баню. Ура!" – писал Касперский из китайских тропиков. Пожалуй, у него действительно был повод для радости, ведь в материале Bloomberg не было ничего о двух событиях, которые к этому моменту уже произошли, но в прессу попали только через два с половиной года. В 2014 году в распоряжение Касперского попали секретные файлы Агентства национальной безопасности США, а внутреннюю сеть компании взломали израильские спецслужбы.
Но Bloomberg написал не про это, а про баню, и заметка не стала серьезным ударом по заокеанскому бизнесу ЛК: созданные компанией программные продукты использовались почти в 20 государственных агентствах США, включая Госдепартамент, министерство обороны, министерство юстиции, армию, флот и военно-воздушные силы. СШA и страны Западной Европы приносили Касперскому более 60 процентов мировых продаж. Все изменилось в конце весны 2017 года, когда сочетание слов "Россия" и "кибербезопасность" стало устойчиво ассоциироваться с предполагаемым вмешательством российских хакеров в ход президентских выборов в США.
11 мая 2017 года в сенатском комитете по разведывательной деятельности прошли слушания, в которых приняли участие руководители ФБР, ЦРУ, АНБ и других силовых агентств США. Речь шла о русских хакерах (на вопрос, вмешался ли Кремль в предвыборную гонку в США с помощью компьютерных взломов, прозвучал единогласный ответ "да"), но на 42-й минуте слушаний сенатор-республиканец из Флориды Марк Рубио поинтересовался, доверяют ли топы разведывательных органов продуктам ЛК. Все шестеро ответили "нет". Вопрос Рубио прозвучал довольно неожиданно; возможно, он задал его с подачи кого-то из приглашенных на слушания силовиков. Так или иначе, именно с этого момента у российской компании на рынке США начались серьезные проблемы.
В тот же день, 11 мая, сам Евгений Касперский, отвечая на вопросы читателей популярного ресурса Rеddit, заявил, что обмен репликами на слушаниях вызван политическими причинами, которые "лишают этих джентльменов возможности воспользоваться лучшей системой безопасности на рынке без всяких реальных причин или проступков с нашей стороны". Касперский заметил, что готов лично дать показания в американском Сенате (забегая вперед: участие российского предпринимателя в сенатских слушаниях до сих пор так и не состоялось, но все еще обсуждается).
После майских слушаний можно было предположить, что ЛК стала чуть ли не случайной жертвой настороженности американских чиновников и СМИ по отношению ко всему киберроссийскому. Сам Евгений Касперский намекал на это регулярно – в постах своего блога, несколько раз прорвавшихся сквозь лавины фотоисторий из экзотических стран, он упоминает и "маккартизм", и "геополитическую турбулентность, от которой страдает бизнес. И причины переживать у него были: поздно вечером 28 июня в личные дома нескольких сотрудников американского офиса ЛК пришли агенты ФБР, которые настойчиво интересовались деталями функционирования компании в США. 5 июля в Сенате предложили не включать закупку продуктов ЛК в оборонный бюджет на следующий год. 11 июля агентство Bloomberg (тот же автор, который запустил в 2015 году "банягейт") опубликовало новое расследование – из попавшей в руки журналистов внутренней переписки следовало, что ЛК участвует в разработке анти-DDoS-систем по заказу ФСБ, а сотрудники участвуют в рейдах силовиков (Касперский подтвердил подлинность переписки, но отверг интерпретацию, сделанную журналистами).
Уже 12 июля General Services Administration, агентство, в частности, отвечающее за госзакупки, исключило ЛК из списка авторизованных поставщиков для американских госорганов. В начале осени продукты ЛК исчезают с полок крупнейшего американского ретейлера Best Buy. Наконец, 13 сентября Департамент внутренней безопасности выпускает директиву, требующую от всех федеральных агентств США прекратить использование ПО Касперского в течение 90 дней.
Мотивация этого бана – "озабоченность связями некоторых представителей Касперского и российских разведслужб и требования российского закона, которые позволяют российским властям принуждать ЛК к сотрудничеству и получать доступ к данным в российских сетях". Это недвусмысленная отсылка к опубликованному летом расследованию Bloomberg – более убедительному по сравнению с "банягейтом" 2015 года. На этот раз в руки журналистов Джордана Робинсона и Марка Райли попала внутренняя переписка сотрудников ЛК. В письмах 2009 года идет речь о работе над системой, способной защитить клиентов, в том числе правительственные структуры, от DDoS-атак, но в проекте есть и "секретная часть" – поиск источников атаки с помощью хостинговых компаний и разработка "активных ответных мер". Источник издания заявил, что эти меры – не только ответная атака на хакеров, но и физическое участие специалистов ЛК в рейдах ФСБ. В одном из писем сам Евгений Касперский отмечает, что проект разрабатывается по "большой просьбе со стороны Лубянки". В компании подтвердили подлинность переписки (но не факт участия специалистов в рейдах ФСБ), и на этом основании издание сделало вывод, что "ЛК поддерживает намного более близкие рабочие отношения с ФСБ, чем признает публично".
Итак, всего за четыре месяца, прошедшие после как бы случайного вопроса Марка Рубио о доверии ЛК на сенатских слушаниях, компания де-факто лишилась доступа на рынок госструктур США. Примеру федеральных агентств могут последовать, отказавшись от российского антивируса, их многочисленные подрядчики, а вслед за ними другой американский и западноевропейский бизнес и частные лица. И все это – из-за походов в баню с сотрудниками ФСБ и работы над системой, защищающей от хакерских атак? Представители Департамента внутренней безопасности США признались, что принимали решение о бане – запрете – продуктов Касперского "по большей части на основе публичной информации". Выходит, Касперский прав, и его американский бизнес страдает от "маккартизма", протекционизма и общей атмосферы недоверия к России, особенно в информационной сфере?
Сожжено перед прочтением
В октябре 2017 года наконец появилось более убедительное объяснение недоверия к Касперскому американской разведки. C 5 по 11 октября в изданиях Wall Street Journal и New York Times вышла серия публикаций, в которых утверждается, что продукт ЛК, установленный на компьютере у неназванного подрядчика Агентства национальной безопасности США, скачал на сервер "Лаборатории Касперского" секретные файлы АНБ. Бывшие американские разведчики рассказали журналистам, что израильские спецслужбы, взломавшие внутреннюю сеть "Лаборатории Касперского" еще в начале 2014 года, сообщили США, что антивирус Касперского используется для загрузки секретной информации, причем якобы поиск интересных файлов программа осуществляла по ключевым словам вроде top secret. Разведчики даже специально расставили несколько своеобразных приманок, разместив на компьютерах с установленным российским антивирусом файлы, похожие на секретные, и антивирус, по их словам, на эти приманки "клюнул". Собеседники журналистов назвали случившееся актом шпионажа против США и предположили, что секретные материалы были украдены "Лабораторией Касперского" по прямому заданию или во всяком случае в интересах российских спецслужб. Именно эта информация, которой американская разведка располагала как минимум с 2015 года, была поводом ответить "нет" на вопрос сенатора Рубио о доверии "Лаборатории Касперского", заданный на сенатских слушаниях весной 2017 года.
У Евгения Касперского есть своя версия развития событий. Однажды поздней осенью 2014 года к нему в кабинет пришел вирусный аналитик. В сеть компании, предназначенную для сбора и анализа потенциально вредоносного программного обеспечения, были загружены файлы, классифицированные системой, как вредоносные и связанные с деятельностью хакерской группировки Equation Group. Один из файлов оказался 7zip-архивом, а внутри него аналитик обнаружил исходные коды вредоносных программ (или, на жаргоне специалистов в компьютерной безопасности, "малварей" – от английского malware) и четыре текстовых документа в формате Word. По заголовкам сотрудник лаборатории понял, что файлы имеют гриф секретности, и сообщил об этом генеральному директору.
Евгений Касперский говорит, что для него сразу стало очевидно, что файлы связаны с АНБ – Агентством национальной безопасности США. Уже несколько месяцев ЛК старательно разыскивала и анализировала вредоносное ПО конкретного типа и, как предполагали специалисты, конкретного авторства. В начале 2015 года Касперский собирался рассказать всему миру о результатах этой работы – об обнаружении "самого продвинутого вредоносного актора, который когда либо-встречался ЛК". Для него внутри компании уже придумали броское название – Equation Group. Пожалуй, вместо этого подошло бы и другое название – "Те-кого-нельзя-называть". "Знали ли они, что Equation – это спецслужбы? Да, все эксперты это понимали", – говорит специалист по компьютерной безопасности Андрей Споров. Все указывало на то, что в действительности специалисты Касперского обнаружили не хакерскую преступную группировку, а следы деятельности киберподразделения американской разведки.
"Мы не занимаемся атрибуцией и не знаем, какая именно организация разработала этот зловред, – объясняет Евгений Касперский. – Но учитывая, что мы анализировали эту малварь уже много месяцев, мы знали ее чрезвычайную сложность и полное отсутствие финансовой мотивации у авторов. Кто может разрабатывать сложнейшее вредоносное ПО, при этом без цели заработать денег? Мы были уверены, что за ее разработкой стоят не просто киберпреступники. И поэтому, увидев слова "конфиденциально", я поверил, что это действительно так".
Итак, секретные файлы действительно оказывались в "Лаборатории Касперского" (правда, в 2014-м, а не в 2015 году, как утверждается в материалах WSJ). И израильские спецслужбы могли об этом знать, потому что они в самом деле взломали внутреннюю сеть компании. Об этой атаке сама "Лаборатория Касперского" официально сообщила еще в июне 2015 года. Заражение началось с компьютера сотрудника одного из небольших офисов "Лаборатории" в Тихоокеанско-Азиатском регионе и произошло, вероятнее всего, через фишинговое письмо. Компания сразу классифицировала атаку как "государственную": "Когда сложное вредоносное ПО пытается атаковать компанию или любую организацию не для кражи денег, то значит, у преступников иная мотивация, то есть шпионаж. Дорогостоящие операции чаще спонсируются кем-то, кто заинтересован в доступе к конфиденциальной информации, а именно государством", – объясняет Евгений Касперский. Помимо "Лаборатории Касперского" жертвами атаки (специалисты прозвали ее Duqu2.0 за схожесть с вирусом Duqu, о котором будет рассказано позже) стали несколько отелей и конференц-залов в Швейцарии, Австрии и Омане, в которых в 2014 году проходили переговоры международной группы "5+1" по иранской ядерной программе. Это, как и многие другие обстоятельства, указывало на то, что государство, стоящее за атакой – то, которое на эти переговоры не пригласили, – Израиль.
"У инициаторов Duqu 2.0, предположительно, была возможность отслеживать наши действия, в том числе наблюдать загрузку этого [содержащего секретные файлы АНБ] архива", – признает Евгений Касперский. Вскоре после того, как "Лаборатория Касперского" обнародовала свои данные об Equation Group, антивирусная система обнаружила несколько компьютеров, зараженных вредоносным ПО от этой группы, причем их IP были в том же диапазоне, что и у машины, с которой был загружен секретный архив. "Уже задним числом мы понимаем, что это, скорее всего, были приманки. В тот момент мы просто подумали, что детектировали новый сэмпл зловреда", – говорит Касперский. Таким образом, и факт "ловли на живца", о котором рассказали источники WSJ и NYT, подтверждается.
Итак, секретный архив загружен был, атака на ЛК израильскими спецслужбами тоже была – с этим согласен сам Евгений Касперский. Расхождения начинаются дальше: во-первых, как именно секретные файлы АНБ были загружены в сеть Kaspersky Security Network – случайно или преднамеренно? А во-вторых, что произошло с секретными документами, после того как они оказались в распоряжении ЛК?
Версия Касперского такова. Прямая задача антивируса – искать малвари. И если так получилось, что у кого-то на компьютере нашлись вирусы не потому, что он был ими заражен, а потому что владелец их разрабатывал, можно ли винить в этом антивирус?
В "предварительном отчете", опубликованном ЛК 25 октября (и в его окончательном варианте, который компания обнародовала 16 ноября) в ответ на статьи в WSJ и NYT, утверждается, что секретные файлы были загружены в сеть ЛК в период с 11 сентября по 17 ноября 2014 года в ходе нормативной работы домашнего антивируса, установленного на компьютер на территории США. В настройках такого антивируса можно включить функцию, которая автоматически сканирует память компьютера и загружает в облачное хранилище Kaspersky Security Network образцы потенциально вредоносных программ для дальнейшего анализа. И у американского пользователя эта функция была активирована, то есть пользователь сам предоставил российской компании достаточно широкий доступ к своим данным. Антивирус отправил в свою сеть содержащий малвари архив, а кроме бинарных файлов в нем оказались исходные коды хакерских документов и текстовые документы – так они и попали в компанию, если верить в эту версию.
Источники, упомянутые в статьях WSJ и NYT, утверждают, что все было не так, и антивирус преднамеренно разыскивал секретные документы, причем с особым коварством – по ключевым словам вроде top secret и classified. Евгений Касперский это категорически отрицает: "Наше внутреннее расследование показало, что в "Лаборатории" никогда не производилось детектирование документов по ключевым словам типа "конфиденциально" или "совершенно секретно", – заявил он Радио Свобода. Впрочем, ответ выглядит несколько уклончиво: "Технически для вендора нет ничего проще, чем вставить в систему поиск строки типа "TS//.*NOFORN" в заголовках документов и таким образом детектировать файлы, помеченные ТOP SECRET с предостережением "Не для иностранных граждан", – замечает Николас Вивер, исследователь в области компьютерной безопасности из Международного института компьютерных наук Калифорнийского университета Беркли, США. Впрочем, Вивер тут же подчеркивает, что никаких публичных доказательств, что ЛК или другой антивирусный вендор когда-либо прибегали к такому методу, нет. Скорее всего, фраза, о том, что антивирус Касперского мог искать секретные файлы по таким ключевым словам - следствие неверно понятой фразы источника, которая затем превратилась в журналистский фольклор. А вот искать по названиям секретных проектов АНБ, обнародованных в сливах Сноудена, смысл был.
Так считает, например, Шон Таунсенд, независимый исследователь в области информационной безопасности, участник и спикер Украинского киберальянса: "Лаборатория Касперского" разыскивала исходные коды целенаправленно, например, по каталогу проектов и инструментов АНБ, опубликованному Эдвардом Сноуденом после побега в декабре 2013 года. "Искал долго, около года, – уверен украинский исследователь. – Нашел компьютер в США, где нужная информация была, и слил всё к себе". В "Предварительном отчете" "Лаборатории Касперского" Таунсенд видит несколько технических несостыковок, например, его удивляет заявление специалистов, что содержавший секретные файлы архив был загружен в сеть Касперского, потому что был определен как вредоносный. "Последняя уязвимость в архиваторе 7zip была обнаружена в 2009 году. Эта отмазка нужна для того, чтобы объяснить, почему был загружен в лабораторию весь архив целиком, а не отдельный файл", – предполагает украинский эксперт. Вот еще одна несостыковка: в отчете подробно описано, что компьютер, с которого антивирус загрузил секретный архив, был заражен вирусом-троянцем Mokes через пиратский генератор ключей для Microsoft Office, и именно это якобы привлекло особое внимание аналитиков Касперского. Таунсенд говорит, что такого рода инфекции достаточно тривиальны и заинтересовать специалистов не могли, хотя специалисты Касперского подчеркнули факт этого заражения, намекая, что к компьютеру с секретными файлами могли иметь доступ и создатели бэкдора Mokes, который связывают с Китаем. В целом же Таунсенд называет внутреннее расследование компании неуклюжей попыткой откреститься от обвинений в шпионаже.
Второй спорный момент – что случилось с секретными файлами, в частности, с исходными кодами малварей Equation Group, после того как они оказались у Касперского. Сам он утверждает, что они были немедленно удалены по его прямому указанию. "Потому что данный вредонос уже был обнаружен нами ранее и не был нам нужен или интересен в качестве нового образца. Вторая причина – это проблема с обработкой конфиденциальных материалов", – объясняет он мотивацию. Теперь, говорит Касперский, в компании даже введено внутреннее правило, предписывающее сразу удалять любые потенциально секретные материалы, которые могут быть случайно обнаружены вирусными аналитиками компании.
Вот в это готовы поверить не все. "Отчет Касперского звучит убедительно, но с одним огромным исключением, – замечает Николас Вивер. – Если он получил исходный код инструментов АНБ, он бы ни за что не уничтожил копии. Обладание исходниками дает огромное преимущество: вредоносное ПО в принципе работает потому, что его сложно отличить от безопасного, антивирусам приходится полагаться на эвристические техники, которые не всегда работают. Поэтому любой антивирусный вендор мечтает заполучить исходные коды".
Даже если исходные коды попались Касперскому случайно, удалять их не имело смысла, но что, если это именно то, за чем аналитики по каким-то причинам охотились? Утечка исходных кодов кибероружия, разработанного АНБ США, в сеть Касперского предшествовала событию, о котором говорят как о причинившем больший ущерб национальной безопасности США, чем деятельность Эдварда Сноудена. Не слишком ли хорошее совпадение? Летом 2016 года американское кибероружие появилось на открытом рынке, а чуть позже с его помощью неизвестными хакерами были нанесены первые удары. Какой могла быть роль "Лаборатории Касперского"?
Для того чтобы разобраться в этом, нужно вспомнить историю самой настоящей кибервойны, которая идет в мире вот уже десять лет. В ней используют оружие стоимостью в миллионы долларов, которое наносит не только виртуальные, но и реальные разрушения. Ее участников все знают, но никто не может назвать официально. Ее последствия опасно недооценивать.
Об этой войне и о роли в ней "Лаборатории Касперского" читайте во второй части нашего расследования.