Вредоносное ПО, с помощью которого Центральное разведывательное управление (ЦРУ) США извлекало информацию из чужих компьютеров, маскировалось под продукцию «Лаборатории Касперского». Маскировку осуществлял специальный инструмент под названием Hive, исходный код которого был только что обнародован ресурсом WikiLeaks в рамках проекта Vault 8.
Даже если владелец постороннего компьютера обнаруживал, что на его устройстве работает имплант — вредоносное ПО, добывающее информацию — благодаря Hive пользователь никак не мог связать его работу с ЦРУ. Когда владелец компьютера проверял, на какие сервера в интернете имплант передает информацию, Hive маскировал связь ПО с серверами ведомства. По сути, инструмент представляет собою скрытую коммуникационную платформу для вредоносного ПО ЦРУ, через которую оно отсылает в управление добытые данные и получает новые инструкции, пишет WikiLeaks.
При этом, когда вредоносное ПО проходит аутентификацию в системе серверов ЦРУ, генерируются цифровые сертификаты, которые имитируют принадлежность ПО реально существующим производителям. Три образца, присутствующих в опубликованном WikiLeaks исходном коде, подделывают сертификаты «Лаборатории Касперского» из Москвы, якобы подписанные доверенным сертификатом Thawte Premium Server в Кейптауне. Если пользователь, обнаруживший имплант, пытается понять, куда идет трафик из его сети, он подумает не на ЦРУ, а на указанного производителя ПО.
«Лаборатория» отреагировала на публикацию WikiLeaks следующим комментарием: «Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими. Ключи, сервисы и клиенты «Лаборатории Касперского» находятся в безопасности и не были затронуты».
Горячие темы