WikiLeaks dezvăluie un program creat de CIA pentru a “fura identitatea” firmei Kaspersky Lab
alte articole
În 18 septembrie, Senatul SUA a votat în favoarea unei interdicţii privind folosirea, de către guvernul federal sau agenţiile sale, a produselor firmei ruseşti Kaspersky Lab, specializată în securitate cibernetică, invocând un risc pentru securitatea naţională. Votul a fost inclus ca un amendament la un proiect de lege privind cheltuielile anuale alocate politicilor apărare - care fusese aprobat de Senat în aceeaşi zi şi care fusese scris pentru a interzice utilizarea programelor Kaspersky Lab în agenţii guvernamentale civile şi militare.
Cu alte cuvinte, pe repede-înainte. Iar dacă motivele ar fi fost reale, cu greu s-ar fi găsit obiecţii.
Dar, conform unei noi dezvăluiri făcute joi de WikiLeaks, s-ar putea ca orice “risc la adresa securităţii naţionale” perceput din partea Kaspersky să fi rezultat din faptul că CIA a proiectat în mod specific un program de spionaj, cu nume de cod “Hive”, care, în mod intenţionat, “s-a dat drept” firma rusească de securitate cibernetică astfel încât, în cazul în care “o organizaţie vizată analizează traficul exfiltrat din reţeaua sa, este destul de probabil să atribuie în mod eronat extragerea de informaţii desfăşurată de CIA unor entităţi neimplicate (Kaspersky) ale căror identităţi au fost furate”.
Acesta este rezumatul dezvăluirilor WikiLeaks despre Hive:
“Astăzi, 9 noiembrie 2017, WikiLeaks publică codul sursă şi log-urile ale programul Hive, o componentă majoră a infrastructurii CIA de controlare a malware-ului său.
“Hive soluţionează o problemă critică pentru operatorii de malware de la CIA. Chiar şi cel mai sofisticat implant de malware pe un calculator ţintă este inutil dacă nu există nicio cale ca el să comunice cu serverele-mamă într-o manieră sigură şi care să nu atragă atenţia. Folosind Hive, chiar dacă un implant este descoperit pe un calculator ţintă, este dificilă atribuirea sa către CIA doar prin verificarea comunicaţiilor malware-ului cu alte servere de pe Internet. Hive oferă o platformă de comunicaţii ascunsă pentru o gamă întreagă de malware-uri CIA care să trimită informaţii extrase către serverele CIA şi care să primească instrucţiuni noi de la operatorii CIA.
“Domeniul de faţadă oferit de CIA furnizează un conţinut ‘nevinovat’ dacă cineva se duce din întâmplare pe adresa respectivă. Un vizitator nu va suspecta că este vorba de altceva decât un website normal. Singura ciudăţenie [a acestuia] nu este vizibilă pentru utilizatorii care nu deţin cunoştinte tehnice – o opţiune a serverului HTTPS care nu este larg folosită: Opţional Client Authentication. Hive foloseşte opţiunea Opţional Client Authentication şi va vedea alte lucruri, în timp ce utilizatorul normal care care verifică website-ul va vedea o aplicaţie de faţadă. Dar implanturile care discută cu Hive se autentifică singure şi, prin urmare, pot fi detectate de serverul Blot. Traficul implanturilor este trimis către un portal de administrare a operatorilor de implanturi numit Honeycomb, în timp ce restul traficului este trimis spre un server ascuns care trimite conţinutul nesuspicios către restul utilizatorilor.
Iar lucrurile stau chiar mai rău.
Conform Wikileaks, “certificatele digitale pentru autentificarea implanturilor sunt generate de entităţile existente ale CIA care se dau drept alte identităţi. Cele trei exemple incluse în codul sursă au construit un certificat care arăta ca şi cum ar fi provenit de la Kaspersky Lab, cu sediul în Moscova, pretinzând că a fost semnat de Thawte Premium Server CA, Cape Town. În acest mod, dacă organizaţia ţintă analizează traficul care iese din reţeaua sa, este destul de probabil să atribuie în mod eronat extragerea de informaţii desfăşurată de CIA unor entităţi neimplicate, ale căror identităţi au fost furate”.
Kaspersky Lab produce programe de antivirus de aproximativ 20 de ani şi are 400 milioane de clienţi în jurul lumii. Suspectată de implicare în spionaj cibernetic, conducerea companiei a declarat că “a fost prinsă în mijlocul unei lupte geopolitice” şi că este “tratată nedrept, chiar dacă firma nu a ajutat niciodată, şi nu va ajuta, vreun guvern al lumii în privinţa eforturilor sale de spionaj cibernetic sau ofensivă cibernetică”.