Эксклюзив: российская антивирусная фирма подделала вредоносное ПО, чтобы нанести вред конкурентам - бывшие сотрудники

1. ИНЖЕКЦИОННЫЙ ПЛОХОЙ КОД
2. ВОЛНЫ АТАК

САН-ФРАНЦИСКО (Рейтер). Начиная более десяти лет назад, одна из крупнейших в мире компаний в области безопасности, московская «Лаборатория Касперского», пыталась нанести ущерб конкурентам на рынке, обманывая свои антивирусные программы, классифицируя вредоносные файлы как вредоносные. двум бывшим сотрудникам.

Они сказали, что секретная кампания нацелена на Microsoft Corp ( MSFT.O ), AVG Technologies NV ( AVG.N ), Avast Software и других конкурентов, заставляя некоторых из них удалять или отключать важные файлы на компьютерах своих клиентов.

По словам одного из основателей «Лаборатории Касперского» Евгения Касперского, некоторые из этих атак были отчасти направлены на то, чтобы отомстить более мелким конкурентам, которые, по его мнению, подражали его программному обеспечению, а не разрабатывали собственные технологии.

«Евгений считал это воровством», - сказал один из бывших сотрудников. Оба источника просили анонимности и сказали, что они были среди небольшой группы людей, которые знали об операции.

«Лаборатория Касперского» категорически отрицает, что она обманула конкурентов в классификации чистых файлов как вредоносных, так называемых ложных срабатываний.

«Наша компания никогда не проводила секретных кампаний, чтобы обмануть конкурентов, чтобы они выдавали ложные срабатывания, чтобы повредить их рыночному положению», - сказал Касперский в заявлении Reuters. «Такие действия неэтичны, нечестны, и их законность, по крайней мере, сомнительна».

Руководители Microsoft, AVG и Avast ранее сообщали агентству Reuters, что в последние годы неизвестные пытались вызвать ложные срабатывания. Когда они связались на этой неделе, у них не было комментариев о том, что «Лаборатория Касперского» нацелена на них.

Российская компания является одним из самых популярных производителей антивирусного программного обеспечения, имея 400 миллионов пользователей и 270 000 корпоративных клиентов. Касперский завоевал широкое уважение в отрасли за исследования сложных западных шпионских программ и компьютерного червя Stuxnet, который саботировал ядерную программу Ирана в 2009 и 2010 годах.

Двое бывших сотрудников «Лаборатории Касперского» заявили, что желание увеличить долю рынка также учитывает выбор конкурентов для диверсий.

«Было решено создать некоторые проблемы» для конкурентов, сказал один бывший сотрудник. «Это не только наносит ущерб конкурирующей компании, но и наносит ущерб компьютерам пользователей».

Бывшие сотрудники «Касперского» заявили, что исследователи компании должны были работать неделями или месяцами над диверсионными проектами.

По словам бывших сотрудников, их главная задача заключалась в том, чтобы перепроектировать программное обеспечение для обнаружения вирусов у конкурентов, чтобы выяснить, как обмануть их, чтобы пометить хорошие файлы как вредоносные.

По словам отраслевых экспертов, возможность подобного обмана за последние полтора десятилетия возросла, поскольку растущее число вредоносных компьютерных программ побудило компании по обеспечению безопасности делиться друг с другом большим количеством информации. Они лицензировали антивирусные механизмы друг друга, обменивались образцами вредоносного ПО и отправляли подозрительные файлы сторонним агрегаторам, таким как Google Inc ( GOOGL.O ) VirusTotal.

Обмениваясь всеми этими данными, охранные компании могут быстрее выявлять новые вирусы и другой вредоносный контент. Но сотрудничество также позволило компаниям в значительной степени позаимствовать у друг друга работы вместо того, чтобы находить плохие файлы самостоятельно.

«Лаборатория Касперского» в 2010 году открыто жаловалась на подражателей, призывая к большему уважению к интеллектуальной собственности, поскольку обмен данными стал более распространенным.

В попытке доказать, что другие компании грабят его работу, Касперский заявил, что провел эксперимент: он создал 10 безвредных файлов и сообщил VirusTotal, что считает их вредоносными. VirusTotal собирает информацию о подозрительных файлах и передает их охранным компаниям.

В течение полутора недель все 10 файлов были объявлены опасными для 14 охранных компаний, которые слепо следовали примеру Касперского, согласно сообщению в СМИ, сделанному старшим аналитиком Касперского Магнусом Калкулем в Москве в январе 2010 года.

По словам бывших сотрудников, когда жалобы Касперского не привели к значительным изменениям, это усилило саботаж.

ИНЖЕКЦИОННЫЙ ПЛОХОЙ КОД

По одной из методик, инженеры «Касперского» взяли бы важный программный продукт, обычно встречающийся на ПК, и внедрили в него плохой код, чтобы файл выглядел так, как будто он заражен, говорят бывшие сотрудники. Они отправляли отсканированный файл анонимно в VirusTotal.

Сотрудники работают в штаб-квартире «Лаборатории Касперского», компании, которая специализируется на выпуске антивирусного программного обеспечения и программного обеспечения для интернет-безопасности, в Москве 29 июля 2013 года. REUTERS / Сергей Карпухин

Затем, когда конкуренты запускали этот файл с докторами через свои механизмы обнаружения вирусов, файл был помечен как потенциально вредоносный. Если подправленный файл выглядел достаточно близко к оригиналу, Касперский мог бы обмануть конкурирующие компании, полагая, что чистый файл также проблематичен.

VirusTotal не имеет немедленного комментария.

В своем ответе на письменные вопросы от Reuters Касперский отрицал использование этой техники. В нем также говорилось, что он также стал жертвой такой атаки в ноябре 2012 года, когда «неизвестное третье лицо» манипулировало Касперским, чтобы неправильно классифицировать файлы из Tencent ( 0700.HK ), Mail.ru ( MAILRq.L ) и игровая платформа Steam как вредоносная.

Степень ущерба от таких атак трудно оценить, потому что антивирусное программное обеспечение может отбрасывать ложные срабатывания по ряду причин, и многие инциденты обнаруживаются после того, как затронуто небольшое количество клиентов, заявили руководители службы безопасности.

Бывшие сотрудники «Касперского» говорили, что Microsoft была одним из противников, на которые была нацелена, потому что многие мелкие охранные компании следовали примеру Redmond, расположенной в Вашингтоне, в обнаружении вредоносных файлов. Они отказались дать подробный отчет о какой-либо конкретной атаке.

Директор по исследованиям в области защиты от вредоносных программ Microsoft Деннис Батчелдер заявил в апреле агентству Reuters, что вспомнил время, когда в марте 2013 года многие клиенты звонили с жалобами на то, что код принтера был признан опасным антивирусной программой и помещен в «карантин».

Батчелдер сказал, что ему потребовалось около шести часов, чтобы понять, что код принтера во многом похож на другой фрагмент кода, который Microsoft ранее считала вредоносным. По его словам, кто-то взял законный файл и вставил в него пачку плохого кода. Поскольку обычный код принтера выглядел очень похоже на измененный код, антивирусная программа также изолировала его.

В течение следующих нескольких месяцев команда Батчелдера нашла сотни, а в итоге и тысячи хороших файлов, которые были изменены, чтобы выглядеть плохо. Батчелдер сказал своим сотрудникам не пытаться установить виновника.

«Неважно, кто это был», - сказал он. «У всех нас в отрасли была уязвимость, поскольку наши системы основывались на доверии. Мы хотели это исправить.

В последующем интервью в среду Батчелдер отказался комментировать любую роль, которую Касперский мог сыграть в проблемах с кодом принтера 2013 или любых других атаках. У Reuters нет доказательств, связывающих Касперского с атакой кода на принтер.

Когда в индустрии безопасности распространились слухи о ложных срабатываниях, обнаруженных Microsoft, другие компании заявили, что они пытались выяснить, что пошло не так в их собственных системах и что делать по-другому, но никто не определил виновных.

В Avast, в основном бесплатном производителе антивирусного программного обеспечения с самой большой долей рынка во многих странах Европы и Южной Америки, сотрудники обнаружили широкий спектр сетевых драйверов для доктринов, дублированных для разных языковых версий.

Главный операционный директор Avast Ондрей Влчек заявил Reuters в апреле, что подозревает, что преступники были хорошо подготовленными авторами вредоносных программ и «хотели повеселиться» за счет индустрии. В четверг он не ответил на запрос о комментариях по поводу обвинения Касперского в ложных срабатываниях.

ВОЛНЫ АТАК

Бывшие сотрудники утверждают, что «Лаборатория Касперского» время от времени манипулировала ложными срабатываниями в течение более 10 лет, причем этот период был максимальным с 2009 по 2013 годы.

Пока не ясно, прекратились ли эти атаки, хотя руководители служб безопасности говорят, что ложные срабатывания сегодня представляют собой гораздо меньшую проблему.

Отчасти это связано с тем, что компании по обеспечению безопасности стали менее склонны принимать определения конкурента как евангелие и тратят больше средств, чтобы отсеять ложные срабатывания.

Бывший технический директор AVG Юваль Бен-Ицхак сказал, что компания пострадала от множества плохих образцов, которые прекратились после того, как она установила специальные фильтры для их проверки и улучшила механизм обнаружения.

«Было несколько волн этих образцов, обычно четыре раза в год. Это поколение искалеченных образцов длилось около четырех лет. Последняя волна была получена в начале 2013 года », - сказал он Reuters в апреле.

Директор по стратегии AVG Тодд Симпсон отказался от комментариев в среду.

Касперский сказал, что он также улучшил свои алгоритмы защиты от ложных образцов вирусов. Он добавил, что, по его мнению, ни одна антивирусная компания не проводила атаки, «поскольку это очень плохо отразится на всей отрасли».

«Хотя рынок безопасности очень конкурентный, надежный обмен данными об угрозах, безусловно, является частью общей безопасности всей ИТ-экосистемы, и этот обмен не должен быть скомпрометирован или поврежден», - сказал Касперский.

Репортаж Джозефа Менна; Редактирование Тиффани Ву

Похожие

Комментарии