Содержание |
Биография
2018: Приговор к 5,5 годам тюрьмы за утечку кибероружия в пользу "Лаборатории Касперского"
В сентябре 2018 года экс-программист АНБ 68-летний Нгия Хоан Пхо был приговорён к пяти с половиной годам тюремного заключения за то, что допустил утечку секретных кибервоенных разработок. Ещё в декабре Пхо признал себя виновным в предумышленном несанкционированном копировании секретной информации, относящейся к сфере государственной безопасности. [1]
В 2015 году Пхо работал программистом в подразделении АНБ по оперативному проникновению в компьютерные сети противника (Tailored Access Operations - TAO), занимающемся разработкой инструментария для ведения разведывательной деятельности в киберпространстве - иначе говоря, созданием эксплойтов и вредоносных программ. TAO, по некоторым сведениям, является одним из крупнейших подразделений в рамках АНБ: в его работе задействованы 1000 военных и гражданских сотрудников.
Проступок Пхо заключался в том, что он неоднократно забирал с собой секретные разработки, чтобы продолжить работу над ними дома. По его собственному признанию, он поступал таким образом в течение пяти лет, в результате чего на его личном компьютере скопилось значительное количество информации под грифом «секретно».
Однако тогда, в 2015 году произошло нечто для Пхо неожиданное: установленная на его домашнем компьютере копия антивируса «Лаборатории Касперского» выявила вредоносные инструменты, и, поскольку компьютер Пхо, по всей видимости, был подключён к сервису Kaspersky Security Network, антивирус автоматически отправил копии этих вредоносных инструментов на анализ.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Дальнейшее развитие событий было крайне неблагоприятным для всех сторон. В США посчитали, что именно в результате попадания эксплойтов АНБ в аналитические системы «Лаборатории Касперского» произошла утечка и эти инструменты оказались в руках российских спецслужб. За этим последовали обвинения компании в сотрудничестве с российскими спецслужбами и многочисленные санкции. В частности, «Лаборатория» лишилась возможности сотрудничать с правительственными организациями США и ряда других стран. Глава компании Евгений Касперский]]даже предлагал представить в Конгресс США исходные коды продуктов «Лаборатории» для анализа, чтобы все могли убедиться в отсутствии в них «шпионской» функциональности. Это предложение услышано не было, давление на компанию продолжилось.
В конце 2017 года «Лаборатория Касперского» опубликовала свою версию произошедшего. Компания признала, что вредоносные программы АНБ и некоторые сопутствующие секретные документы поступили в инфраструктуру компании для анализа, просто потому, что такова была заявленная функциональность продукта.
Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation. Помимо вредоносных программ, указанный архив также содержал исходный код ПО группировки Equation и четыре текстовых документа с грифами секретности. «Лаборатория Касперского» не обладает какой-либо информацией о содержании этих документов, так как они были удалены после получения», - говорится в сообщении компании. ([2]) |
Передачу этих исходных кодов и документов третьим лицам компания категорически отрицает. отмечая, что доступ к компьютеру Пхо «могло иметь неизвестное количество третьих лиц». Согласно итогам расследования, в системе Пхо присутствовал бэкдор, чьи управляющие серверы принадлежат китайской организации. Почему разработка «Лаборатории Касперского» не смогла нейтрализовать этот бэкдор, в публикации компании не объясняется.
В октябре 2017 года Евгений Касперский в [3] рассказал, что инцидент в действительности произошёл ещё в 2014 году. Когда стало понятно, что аналитикам попались засекреченные данные, Касперский лично приказал их немедленно удалить.
В начале 2015 года «Лаборатория» обнародовала результаты исследования деятельности гипотетической группировки Equation Group [4]. Эксперты «Лаборатории» заявили, в частности, что Equation «много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства».
Позднее в отрасли сложился консенсус, что Equation Group прямо связана с АНБ; об этом, в частности, свидетельствовали и данные, похищенные и опубликованные Эдвардом Сноуденом.
Спустя несколько месяцев «Лаборатория» также объявила о продолжительной кибератаке на свою инфраструктуру с использованием вредоносной платформы Duqu 2.0. На тот момент «Лаборатория» отказалась идентифицировать операторов Duqu/Duqu 2.0, однако впоследствии ходили слухи, что за этой атакой стояла израильская киберразведка ([5]) и что инцидент с Duqu 2.0 был прямо связан с расследованием «Лаборатории» в отношении Equation Group.
В 2016 году произошла скандальная утечка инструментов Equation: неизвестная ранее группировка The Shadow Brokers выставила их на продажу, а часть даже опубликовала в общем доступе. Впоследствии эти эксплойты использовались в нескольких крупномасштабных кибератаках. В частности, эпидемия шифровальщика WannaCry стала возможной именно благодаря тому, что он использовал для своего распространения некоторые эксплойты Equation.
Таким образом, утечка «инструментария АНБ» привела к тому, что им стали пользоваться все подряд.
Власти США очевидно решили наказать Пхо в назидание всем остальным, - считает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". - Сравнимые сроки получали ранее Риэлити Уиннер, ещё один подрядчик АНБ, которая также передала СМИ конфиденциальные данные, и Челси/Брэдли Мэннинг, передавший WikiLeaks 750 тысяч документов, секретных и конфиденциальных. Однако Уиннер и Мэннинг действовали сознательно, в то время как действия Пхо подпадают под определение преступной халатности. Тем не менее, последствия его ошибки имеют глобальный характер. Более того, они будут ощущаться ещё в течение нескольких лет во всём мире. |
Примечания
- ↑ NSA dev in the clink for 5.5 years after letting Kaspersky, allegedly Russia slurp US exploits
- ↑ «Лаборатория Касперского» опубликовала полные результаты внутреннего расследования инцидента с исходным кодом ПО Equation
- ↑ интервью Associated Press
- ↑ Equation: Звезда смерти Галактики Вредоносного ПО
- ↑ Duqu 2.0: computer virus 'linked to Israel' found at Iran nuclear talks venue