Содержание |
Биография
2018: Приговор к 5,5 годам тюрьмы за утечку кибероружия в пользу "Лаборатории Касперского"
В сентябре 2018 года экс-программист АНБ 68-летний Нгия Хоан Пхо был приговорён к пяти с половиной годам тюремного заключения за то, что допустил утечку секретных кибервоенных разработок. Ещё в декабре Пхо признал себя виновным в предумышленном несанкционированном копировании секретной информации, относящейся к сфере государственной безопасности. [1]
В 2015 году Пхо работал программистом в подразделении АНБ по оперативному проникновению в компьютерные сети противника (Tailored Access Operations - TAO), занимающемся разработкой инструментария для ведения разведывательной деятельности в киберпространстве - иначе говоря, созданием эксплойтов и вредоносных программ. TAO, по некоторым сведениям, является одним из крупнейших подразделений в рамках АНБ: в его работе задействованы 1000 военных и гражданских сотрудников.
Проступок Пхо заключался в том, что он неоднократно забирал с собой секретные разработки, чтобы продолжить работу над ними дома. По его собственному признанию, он поступал таким образом в течение пяти лет, в результате чего на его личном компьютере скопилось значительное количество информации под грифом «секретно».
Однако тогда, в 2015 году произошло нечто для Пхо неожиданное: установленная на его домашнем компьютере копия антивируса «Лаборатории Касперского» выявила вредоносные инструменты, и, поскольку компьютер Пхо, по всей видимости, был подключён к сервису Kaspersky Security Network, антивирус автоматически отправил копии этих вредоносных инструментов на анализ.28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Дальнейшее развитие событий было крайне неблагоприятным для всех сторон. В США посчитали, что именно в результате попадания эксплойтов АНБ в аналитические системы «Лаборатории Касперского» произошла утечка и эти инструменты оказались в руках российских спецслужб. За этим последовали обвинения компании в сотрудничестве с российскими спецслужбами и многочисленные санкции. В частности, «Лаборатория» лишилась возможности сотрудничать с правительственными организациями США и ряда других стран. Глава компании Евгений Касперский]]даже предлагал представить в Конгресс США исходные коды продуктов «Лаборатории» для анализа, чтобы все могли убедиться в отсутствии в них «шпионской» функциональности. Это предложение услышано не было, давление на компанию продолжилось.
В конце 2017 года «Лаборатория Касперского» опубликовала свою версию произошедшего. Компания признала, что вредоносные программы АНБ и некоторые сопутствующие секретные документы поступили в инфраструктуру компании для анализа, просто потому, что такова была заявленная функциональность продукта.
Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation. Помимо вредоносных программ, указанный архив также содержал исходный код ПО группировки Equation и четыре текстовых документа с грифами секретности. «Лаборатория Касперского» не обладает какой-либо информацией о содержании этих документов, так как они были удалены после получения», - говорится в сообщении компании. ([2]) |
Передачу этих исходных кодов и документов третьим лицам компания категорически отрицает. отмечая, что доступ к компьютеру Пхо «могло иметь неизвестное количество третьих лиц». Согласно итогам расследования, в системе Пхо присутствовал бэкдор, чьи управляющие серверы принадлежат китайской организации. Почему разработка «Лаборатории Касперского» не смогла нейтрализовать этот бэкдор, в публикации компании не объясняется.
В октябре 2017 года Евгений Касперский в [3] рассказал, что инцидент в действительности произошёл ещё в 2014 году. Когда стало понятно, что аналитикам попались засекреченные данные, Касперский лично приказал их немедленно удалить.
В начале 2015 года «Лаборатория» обнародовала результаты исследования деятельности гипотетической группировки Equation Group [4]. Эксперты «Лаборатории» заявили, в частности, что Equation «много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства».
Позднее в отрасли сложился консенсус, что Equation Group прямо связана с АНБ; об этом, в частности, свидетельствовали и данные, похищенные и опубликованные Эдвардом Сноуденом.
Спустя несколько месяцев «Лаборатория» также объявила о продолжительной кибератаке на свою инфраструктуру с использованием вредоносной платформы Duqu 2.0. На тот момент «Лаборатория» отказалась идентифицировать операторов Duqu/Duqu 2.0, однако впоследствии ходили слухи, что за этой атакой стояла израильская киберразведка ([5]) и что инцидент с Duqu 2.0 был прямо связан с расследованием «Лаборатории» в отношении Equation Group.
В 2016 году произошла скандальная утечка инструментов Equation: неизвестная ранее группировка The Shadow Brokers выставила их на продажу, а часть даже опубликовала в общем доступе. Впоследствии эти эксплойты использовались в нескольких крупномасштабных кибератаках. В частности, эпидемия шифровальщика WannaCry стала возможной именно благодаря тому, что он использовал для своего распространения некоторые эксплойты Equation.
Таким образом, утечка «инструментария АНБ» привела к тому, что им стали пользоваться все подряд.
Власти США очевидно решили наказать Пхо в назидание всем остальным, - считает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". - Сравнимые сроки получали ранее Риэлити Уиннер, ещё один подрядчик АНБ, которая также передала СМИ конфиденциальные данные, и Челси/Брэдли Мэннинг, передавший WikiLeaks 750 тысяч документов, секретных и конфиденциальных. Однако Уиннер и Мэннинг действовали сознательно, в то время как действия Пхо подпадают под определение преступной халатности. Тем не менее, последствия его ошибки имеют глобальный характер. Более того, они будут ощущаться ещё в течение нескольких лет во всём мире. |
Примечания
- ↑ NSA dev in the clink for 5.5 years after letting Kaspersky, allegedly Russia slurp US exploits
- ↑ «Лаборатория Касперского» опубликовала полные результаты внутреннего расследования инцидента с исходным кодом ПО Equation
- ↑ интервью Associated Press
- ↑ Equation: Звезда смерти Галактики Вредоносного ПО
- ↑ Duqu 2.0: computer virus 'linked to Israel' found at Iran nuclear talks venue