Вирусы Касперского, или валите всё на русских

В течение более десяти лет крупнейший мировой производитель антивирусов российская компания Лаборатория Касперского обманывала конкурентов, поставляя им, по словам двух бывших сотрудников, ложную информацию о вредоносных программах. Они рассказали, что кампания по обману конкурентов была нацелена на такие компании, как Microsoft, AVG и Avast, в результате чего антивирусные программы от этих производителей удаляли важные файлы с компьютеров их клиентов, ошибочно принимая их за вредоносные.

Ряд атак, как сообщили бывшие сотрудники, был инициирован соучредителем компании Евгением Касперским, в целях навредить мелким конкурентам, которые, по его мнению, просто копировали программное обеспечение Лаборатории Касперского, вместо того чтобы создавать собственное.

«Евгений считает это воровством», - сказал один из бывших сотрудников. Оба источника попросили об анонимности, рассказав, что они относились к узкому кругу лиц, кто знал об этой кампании.

В Лаборатории Касперского категорически отвергают обвинения в саботаже.

«Наша компания никогда не проводила тайную кампанию по обману конкурентов, чтобы их ошибочные заключения повредили их позиции на рынке», — заявил Касперский. «Подобные действия являются неэтичными, нечестными и их законность, по крайней мере, сомнительна».

Руководители Microsoft, AVG и Avast ранее сообщали, что в последние годы неизвестной стороной были предприняты попытки произвести так называемое ложноположительное срабатывание. На этой неделе они не подтвердили причастность Лаборатории Касперского к атакам на них.

Навредить конкурентам?

Российская компания является на сегодня одним из самых популярных антивирусных вендоров, насчитывающим 400 миллионов пользователей и 270,000 корпоративных клиентов. Касперский завоевал широкую признательность в отрасли за исследования в области сложных шпионских программ, а также за обезвреживание компьютерного червя Stuxnet, саботировавшего в 2009 – 2010 годах ядерную программу Ирана.

По словам двух бывших сотрудников, компания хотела навредить конкурентам, чтобы увеличить свою долю на рынке.

«Это было задумано для создания ряда проблем для конкурентов»,- рассказал один из бывших сотрудников. «Оно разрушало не только конкурентов, но также и компьютеры пользователей».

По их сведениям, эксперты компании трудились над проектом саботажа в течение недель, и даже месяцев. Их основная задача состояла в выяснении, как работает антивирусное обеспечение конкурентов, чтобы заставить его помечать доброкачественные файлы, как вредоносные.

Возможность для такого рода саботажа появилась из-за того, что в течение последних пятнадцати лет рост числа вредоносных программ побудил компании, занимающиеся информационной безопасностью, обмениваться образцами найденных вирусов, лицензировать разработки (ту часть, что ищет вредоносный код) и отсылать подозрительные файлы в агрегаторы, типа Google VirusTotal. Обмениваясь подобными данными, компании, работающие в сфере безопасности, могли быстрее идентифицировать новые вирусы и прочий злокачественный контент. Но сотрудничество, с другой стороны, создало сильную зависимость компаний друг от друга, вместо того, чтобы каждая занималась собственными разработками.

В 2010 году Лаборатория Касперского открыто жаловалась на подделки, призывая к большему уважению к интеллектуальной собственности на фоне преобладания совместного использования данных. В доказательство того, что другие компании воруют его разработки, Касперский провел эксперимент: он создал 10 безопасных файлов и сообщил VirusTotal, что расценивает их как вредоносные. VirusTotal агрегировал данные о подозрительных файлах и поделился ими с компаниями, занимающимися безопасностью. В течение полутора недель 14 компаний, слепо вторящих выводам Касперского, объявили эти файлы опасными, сообщил в январе 2010 года старший аналитик компании Магнус Калькул. Когда жалобы Касперского не привели к существенным изменениям, рассказали бывшие сотрудники, компания решилась на саботаж.

Ошибочный код

В одном случае разработчики Лаборатории Касперского ввели ошибочный код в программное обеспечение, установленное обычно на персональных компьютерах, так что файл выглядел зараженным, рассказывает бывший сотрудник компании. Они анонимно отправили вылеченный файл в VirusTotal.

После того, как конкуренты прогнали вылеченный файл через свои антивирусные программы, он был помечен, как потенциально опасный. При том, что вылеченный файл очень походил на оригинал, Касперскому удалось обмануть конкурентов, заставив их думать, что чистый файл также представляет угрозу.

VirusTotal на это не среагировал

В ответ на письменные вопросы Касперский отверг причастность к этому эпизоду. Он заявил, что его компания сама стала жертвой подобной провокации в ноябре 2012 года, когда ее программное обеспечение ошибочно идентифицировало, как вредоносные файлы от компаний Tencent, Mail.ru и игровой платформы Steam.

Степень ущерба от таких кампаний трудно оценить, поскольку антивирусные программы могут по разным причинам сбросить ложнопозитивное срабатывание, после чего пользователи становятся подвержены многочисленным рискам, считают руководители служб безопасности.

Проблемы в Microsoft

Бывшие сотрудники Лаборатории Касперского сообщили, что Microsoft была одним из конкурентов, подвергшихся атаке, поскольку множество мелких компаний, работающих в сфере безопасности, пользуются разработками гиганта по обнаружению вредоносных файлов. Они отказались разглашать подробности какой-либо из кампаний.

Директор Microsoft по исследованиям в области антивредоносного ПО Деннис Бэчелдер рассказал в апреле, что в марте 2013 года многие пользователи пожаловались на то, что их антивирусные программы расценивают код принтера, как опасный и помещают его в «карантин».

Бэчелдер сообщил, что ему потребовалось примерно шесть часов, чтобы выяснить, что код принтера очень походил на другую часть кода, ранее расцениваемую Microsoft, как зловредную. Кто-то взял изначальный файл и ввел в него ошибочный код, сказал он. А так как обычный код принтера практически ничем не отличался от поддельного, антивирусная программа помещала в карантин и его.

В течение последующих шести месяцев команда Бэчелдера выявила сотни и даже тысячи здоровых файлов, переделанных под «зараженные». Бэчелдер приказал персоналу не пытаться идентифицировать злоумышленника.

«Действительно, не имеет значения, кто стоял за этим», - сказал он. «У всех у нас в отрасли есть слабые места, и в этом наши системы были основаны на доверии. Мы хотели, чтобы все так же оставалось и впредь».

В интервью в среду Бэчелдер отверг какую-либо роль Касперского в истории с кодами принтеров в 2013 году, как, впрочем, и любые другие атаки с его стороны. У Reuters нет никаких доказательств причастности Лаборатории Касперского к атакам на коды принтеров.

В то время, как в индустрии безопасности распространяется известие о ложном положительном срабатывании, обнаруженном Microsoft, ряд компаний заявил, что они пытаются выяснить и исправить ошибки своих собственных систем, но никто так и не назвал ответственных за это.

Специалисты крупнейшего производителя бесплатного антивирусного ПО Avast, занимающего значительную долю рынка во многих европейских и южноафриканских странах, обнаружили большое количество вылеченных сетевых драйверов, продублированных для различных языковых версий.

Исполнительный директор Avast Ондржей Влчек рассказал в апреле Reuters, что, по его подозрениям, злоумышленники были хорошо подготовленными разработчиками вредоносных программ, желающих «позабавиться» за счет отрасли. На вопрос о причастности Касперского к ложному положительному срабатыванию он не ответил.

Волны атак

Бывшие подчиненные Касперского признались, что компания в течение десяти лет занималась подобной деятельностью, а пик активности в рамках этого проекта пришелся на 2009–2013 годы. Еще не ясно, закончились ли эти атаки, хотя эксперты в области безопасности утверждают, что проблема ложного положительного срабатывания на сегодня уже не столь актуальна. Это частично потому, что компании, занятые в сфере безопасности, стали меньше принимать на веру определения конкурентов и уделяют больше времени для предотвращения ошибочного доступа к системе.

Бывший главный инженер AVG Ювал Бен-Ицхак сообщил, что компания пострадала от зараженных файлов, пока не установила специальные фильтры для их отсеивания и не улучшила работу систем обнаружения.

«Было несколько волн этих атак, обычно четыре раза в год. Эта кампания с зараженными образцами продлилась около четырех лет. Последняя волна пришлась на начало 2013 года», - рассказал он в апреле.

Директор по стратегическому развитию AVG Тодд Симпсон отказался давать комментарии на эту тему.

Касперский заявил, что компания также улучшила алгоритмы защиты от фальшивых зараженных файлов. Он добавил, что за атаками не стоят разработчики антивирусного ПО, поскольку «это могло бы иметь отрицательный эффект на всю отрасль».

«Хотя рынок систем компьютерной безопасности является высококонкурентным, процесс обмена данными о киберугрозах и сложных кибератаках важен для безопасности всей IT-экосистемы, и мы боремся за то, чтобы этот обмен не был скомпрометирован», - сказал Касперский.