Кибердиверсии как оружие спецслужб

#62
О Николае Гребенникове, собственно разработчике антивируса "Касперского", о "юристе" компании ЛК (офицере КГБ) Игоре Чекунове, о "орках" и о роли в этой схеме семьи Касперских. Сплетни и слухи от Медузы.
Read the story in English on BuzzFeed.
У «Лаборатории Касперского», крупнейшей российской компании, занимающейся кибербезопасностью, в последнее время большие проблемы на американском рынке. С осени 2017 года американским государственным учреждениям запретили пользоваться продуктами «Лаборатории» — в Америке ее подозревают в связях с российскими спецслужбами и в попытках получить доступ к засекреченным файлам. Спецкор «Медузы» Илья Жегулев выяснил, как борьба за власть и контроль внутри «Лаборатории Касперского» закончилась победой выходцев из силовых ведомств — и какими были последствия этой победы.

«Ну что, поздравляй меня!» — шутливо сказал Евгений Касперский, зайдя в кабинет к одному из топ-менеджеров своей компании. Как вспоминает собеседник «Медузы», проработавший в «Лаборатории Касперского» почти десять лет, он понимал, какой у начальника праздник: на календаре было 20 декабря (какого именно года, собеседник не помнит), и все в компании знали, что на этот день встреч с Касперским планировать не следует. День работника органов безопасности, который обычно называют просто Днем чекиста, Касперский ежегодно отмечает в кругу друзей из Федеральной службы безопасности — и даже командировки обычно планирует так, чтобы 20 декабря остаться в Москве, утверждает источник «Медузы».

В 2017 году праздник оказался испорчен Дональдом Трампом. За неделю до Дня чекиста президент США придал статус закона сентябрьскому решению министерства внутренней безопасности, которое запретило госучреждениям пользоваться продукцией «Лаборатории Касперского», мотивировав это тем, что разработанные ей программы могут быть использованы российскими спецслужбами для получения доступа к американским правительственным документам. Обвинения в сотрудничестве с российскими властями в неблаговидных целях нанесли серьезный ущерб компании Касперского, которая зарабатывает главным образом на западном рынке: в 2016 году на Северную Америку и Европу приходилось более 60% выручки «Лаборатории».

Несмотря на то что в собственном расследовании компании утверждается, что антивирус Касперского работал как заявлено — и никто не использовал его для похищения данных, «Лаборатория» признает, что у нее есть проблемы. «Наши продажи государственным органам США являются лишь малой долей всего бизнеса компании в Северной Америке. Однако по мере развития этой ситуации запрет [министерства внутренней безопасности] с большой вероятностью приведет к существенным потерям не только в государственном сегменте, но и среди частных пользователей», — говорит Андрей Булай, официальный представитель «Лаборатории Касперского». (Сам Евгений Касперский не захотел отвечать на вопросы «Медузы».)

Возможным связям «Лаборатории Касперского» с российским государством, равно как и обвинениям в том, что антивирус использовался для скачивания секретной информации, было посвящено множество публикаций (например, в Bloomberg, The New York Times, The Washington Post и других изданиях). По словам собеседника «Медузы», ранее работавшего в руководстве компании, проблемы у нее начались после того, как в первой половине 2010-х изменилась структура управления «Лаборатории». Прямое отношение к этим изменениям имели выходцы из спецслужб.

Похититель из ФСО
Выпускник Высшей школы КГБ Евгений Касперский начинал карьеру в 1991 году в небольшой фирме у своего бывшего преподавателя, а через шесть лет вместе с женой создал собственную компанию. Касперский занял в ней пост технического директора, отвечавшего за разработку антивирусов; гендиректор Наталья Касперская курировала коммерческую деятельность «Лаборатории». Распределение ролей не поменялось даже в 1998 году, когда супруги развелись: пост генерального директора Касперская занимала еще почти десять лет, уступив его бывшему мужу только в 2007-м. После этого в компании начали формироваться три управленческих клана, рассказывает собеседник «Медузы», в тот момент работавший одним из топ-менеджеров «Лаборатории».

«Клан технарей» возглавлял Николай Гребенников, технический директор компании и фактически главный разработчик антивируса. Вторая группа влияния состояла из финансистов западного толка, которые считали, что компании надо активнее вести себя на мировом рынке и выходить на IPO; в их числе были международные менеджеры «Лаборатории» Гарри Ченг и Стив Оренберг, занимавшиеся делами «Лаборатории Касперского» в Азии и Америке, и некоторые их российские коллеги. В третий клан входили люди, в прошлом связанные с российскими силовыми структурами, — в частности, бывший офицер КГБ Игорь Чекунов, отвечавший в компании за безопасность и юридические вопросы. (Евгений Касперский утверждает, что Чекунов никогда не работал в КГБ, а просто проходил срочную службу в погранвойсках, которые подчинялись Комитету госбезопасности СССР.)

Утром 19 апреля 2011 года сын Евгения и Натальи Касперских Иван вышел со станции метро «Строгино» и направился в офис компании InfoWatch, основанной его матерью, — четверокурсник дважды в неделю подрабатывал там программистом. В это время из зеленого автомобиля, стоявшего на обочине, выбрался человек и схватил Касперского; подбежавший откуда-то второй мужчина помог затолкать юношу в машину. На глаза ему надели маску. По пути похитители сменили автомобиль — и в итоге отвезли Ивана Касперского в загородный дом.


Иван Касперский и Наталья Касперская перед заседанием суда над обвиняемыми в похищении Касперского-младшего, 25 декабря 2012 года


Глеб Щелкунов / Коммерсантъ


Обвиняемые в похищении Ивана Касперского слушают вердикт суда, 6 марта 2013 года


Евгений Биятов / Sputnik / Scanpix / LETA


Евгений Касперский в это время находился в Лондоне. Ему позвонили неизвестные и сообщили, что его сын похищен, а также потребовали выкуп — три миллиона евро. Касперский немедленно позвонил Чекунову, который взял на себя координацию операции по спасению сына начальника. Уже через четыре дня Ивана Касперского (все это время его держали в наручниках в бане) приехал освобождать отряд спецназа.

Есть несколько версий того, кто и зачем похитил Ивана Касперского. Один из злоумышленников, Николай Савельев, в первых показаниях заявил, что он вместе со своим сыном и знакомыми решил украсть Ивана Касперского ради денег — перед этим они посмотрели по телевизору передачу про Евгения Касперского. Этой же версии придерживался суд, в марте 2013 года приговоривший четырех участников преступления к тюремным срокам от семи до 11 лет. Позднее Савельев изменил показания и заявил, что реальным организатором похищения был сотрудник ФСО Алексей Устимчук (в одной из публикаций утверждалось, что он однажды сфотографировался в кресле президента России). Устимчук, по словам дочери Савельева, накануне похищения изучал аналогичные преступления; о том, что его участие в преступлении не было адекватно расследовано, также говорил муж Натальи Касперской, владелец компании «Ашманов и партнеры» Игорь Ашманов.

Устимчука как военного судили отдельно в особом порядке; благодаря сделке со следствием он в августе 2012-го получил срок в четыре с половиной года и не был лишен ни звания, ни наград — а семья Касперских отозвала гражданский иск к Устимчуку на 120 миллионов рублей, получив от него извинения и 10 тысяч рублей компенсации за бумажник и телефон, которых Иван недосчитался после похищения.

По словам бывшего топ-менеджера «Лаборатории», знакомого с обоими Касперскими, Наталья подозревала в организации похищения Игоря Чекунова. В разговоре с «Медузой» Касперская не стала опровергать эту информацию, сообщив лишь, что «какие бы ни были у нас подозрения, их к делу не пришьешь».

Рождение «орков»
В ноябре 2011-го, через полгода после похищения, «Лаборатория Касперского» заключила с ФСО контракт на поставку своей продукции. По словам источника «Медузы», работавшего в руководстве компании, именно после похищения влияние клана силовиков в лаборатории резко возросло. «Касперский резко все понял, поменял курс, отменил IPO, вышиб американских инвесторов и большинство иностранных топов», — рассказывает он. Летом 2011 года Наталью Касперскую не переизбрали председателем совета директоров «Лаборатории», а в феврале 2012-го она продала остававшиеся у нее акции компании. Как сообщал Bloomberg, в 2012-м был заморожен процесс выхода компании на IPO, который должен был происходить в партнерстве с американским инвестиционным фондом General Atlantic; акции, уже купленные партнерами, выкупили обратно. Одновременно в компании ввели мораторий на наем иностранных топ-менеджеров (Евгений Касперский заявлял, что информация Bloomberg о моратории не соответствовала действительности).

В «силовой клан», рассказывает бывший топ-менеджер, кроме Чекунова входили исполнительный директор компании Андрей Тихонов и глава службы безопасности Алексей Кузяев — по словам собеседника «Медузы», работавшего в компании, первый дослужился в российской армии до звания подполковника военной разведки, а второй является бывшим офицером ФСБ. В «Лаборатории Касперского» отказались отвечать на вопросы о прошлом сотрудников, сообщив, что они «сами решают, какими персональными данными или деталями биографии они готовы делиться». В официальной биографии Тихонова указано, что он закончил службу в армии в звании подполковника; Кузяев в своем LinkedIn сообщает, что является выпускником академии ФСБ.

Кузяеву, как говорит собеседник «Медузы», подчинялся Руслан Стоянов — бывший офицер МВД, курировавший отдел расследования компьютерных инцидентов, специально созданный при «Лаборатории» для сотрудничества с силовиками. «Это был созданный внутри департамент, который обслуживал ФСБ и МВД, — рассказывает бывший высокопоставленный сотрудник компании. — Сами они себя называли „орки“, им очень нравилось это название». Представитель «Лаборатории» Андрей Булай, не упомянув фамилию Кузяева, сообщил, что отдел расследования киберинцидентов не подчиняется руководителю службы безопасности компании.

Сотрудничество со спецслужбами было настолько тесным, что «орки» из «Лаборатории» даже сопровождали группы захвата, когда те задерживали киберпреступников. «Прямо вместе с эфэсбэшниками выезжали на точку и не стеснялись этого, Стоянов выкладывал фотоотчет о том, как они захватывали группировку Lurk, — вспоминает собеседник „Медузы“. — Это беспрецедентно, конечно». (Участники Lurk обвиняются в краже около трех миллиардов рублей у банков и коммерческих организаций; «Медуза» подробно писала об этом деле.) Ведущий антивирусный эксперт «Лаборатории» Сергей Голованов подтвердил «Медузе», что специалисты компании выезжают на задержания вместе с оперативниками для технической поддержки — чтобы во время обыска не забыли или не сломали что-то важное.

Как сообщили в самой «Лаборатории Касперского», отдел расследования компьютерных инцидентов начал формироваться в 2012 году. Сервис, который предлагает этот департамент компании, «включает в себя оперативный анализ компьютерного инцидента, его расследование, а также экспертное сопровождение уголовного дела». По словам представителя компании Булая, создан он был «в связи с ростом числа киберкриминальных атак на крупные и средние бизнесы в мире и в России, а также с тем, что многие компании, ставшие жертвами кибератак, хотели бы не только восстановить работоспособность своих систем, но и добиться уголовного преследования преступников». Сотрудники отдела, рассказывает Булай, «обладают знаниями и опытом на стыке высоких технологий, компьютерной криминалистики и уголовного и уголовно-процессуального законодательства, что позволяет им осуществлять судебные экспертизы и принимать участие в следственных действиях в качестве технических специалистов».


Сотрудники «Лаборатории Касперского» в головном офисе компании в Москве, 29 июля 2013 года


Сергей Карпухин / Reuters / Scanpix / LETA


Глава «орков» Руслан Стоянов писал, что с 2013 года его департамент участвовал более чем в 330 расследованиях киберпреступлений. Про участие в следственных действиях компания не раз рассказывала в собственных новостях. По словам собеседника «Медузы», работавшего в тот момент в компании, «Лаборатория» сотрудничала с силовиками на некоммерческой основе, не получая за это ни копейки. Это подтвердила «Медузе» пресс-служба компании; говорил об этом и сам Стоянов.

Вертухайский стиль общения
По мере того как «клан силовиков» получал все больше влияния, он начинал все чаще конфликтовать с технарями. Технический директор лаборатории Николай Гребенников, возглавлявший «клан технарей», рассказывал Forbes: еще летом 2013 года на инновационном саммите в Праге Касперский публично представил его как своего преемника на посту главы компании — однако вскоре после этого между Гребенниковым и силовиками стали происходить столкновения прямо на общих совещаниях. По словам одного из участников этих совещаний, доходило даже до крика. Проблема, как он рассказывает «Медузе», заключалась в доступе к системе Kaspersky Security Network (KSN): до начала 2014 года Гребенников как технический директор не допускал до нее службу безопасности, а ей это не нравилось. «Мордобоя не было, но орали в голос», — утверждает собеседник.

С «Медузой» Гребенников общаться не захотел; в разговоре с Forbes он также упоминал, что «роль Чекунова сильно демонизирована». В «Лаборатории Касперского» сообщили, что не комментируют «неподтвержденные слухи, касающиеся личных или профессиональных отношений между действующими или бывшими сотрудниками компании».

Kaspersky Security Network была разработана как система, позволяющая вывести борьбу с вредным программным обеспечением на новый уровень: это «облачное решение для обеспечения безопасности», благодаря которому выявлять угрозы можно гораздо быстрее. По словам источника «Медузы», участвовавшего в выводе KSN на рынок, внутри компании ее называют «киберразведкой». Система позволяет администратору затребовать с компьютера пользователя файл, который может представлять угрозу: это позволяет, в частности, анализировать и обезвреживать новые вирусы еще до того, как происходит массовое заражение. При этом, по словам собеседника «Медузы», файл этот может быть любым (например, документ или таблица) — а система работает «не только в автоматическом режиме». Таким образом, утверждает источник, сотрудник лаборатории может скачать любой файл с компьютера, на котором стоит KSN, без ведома его владельца. «Это как классный кухонный нож, который можно использовать, чтобы идеально резать хлеб, — а кто-то другой может его же качественные характеристики использовать, чтобы людей резать», — объясняет собеседник.

Представитель компании Булай сказал «Медузе», что KSN «не имеет режима ручного доступа к компьютерам». «KSN является стандартной облачной технологией автоматического анализа киберугроз, которая позволяет значительно повысить уровень безопасности пользователей, — добавил он. — Похожие системы используются всеми ведущими разработчиками». Объясняя принципы работы KSN на собственном сайте в 2015 году, «Лаборатория» сообщала, что система «вообще не обрабатывает персональные данные пользователей». В более новом документе на ту же тему компания заявляет, что «в соответствии с новейшими законодательными нормами, принятыми в ряде стран, информация, обрабатываемая „Лабораторией Касперского“, может содержать данные, которые могут считаться персональными или идентифицируемыми», — и указывает, что «не атрибутирует эти данные конкретным людям».

Подключение к KSN формально является добровольным, однако, по словам бывшего топ-менеджера «Касперского», в большинстве случаев система по умолчанию включается при установке антивируса. «Медуза» протестировала актуальные версии продуктов «Лаборатории»: в них при установке антивируса пользователю предлагается согласиться на участие в KSN; по умолчанию соответствующая галочка уже проставлена.

Собеседник «Медузы» утверждает, что лично присутствовал при демонстрации продукта, в ходе которой аналитики компании показывали, как залезли в компьютеры Gamma Group — британской фирмы, выпускающей программное обеспечение для слежки за пользователями (например, под видом обновлений iTunes), — и скачали оттуда исходный код одной из таких программ. «Позже каким-то образом этот код оказался в паблике, что сильно навредило западной компании», — рассказывает источник.

В августе 2014 года неизвестные хакеры опубликовали код программы FinFisher, разработанной Gamma Group; в том, что с ее помощью велась слежка за гражданскими активистами, обвиняли, например, правительства Египта и Эфиопии. Представитель «Лаборатории» Андрей Булай сказал «Медузе», что Gamma Group никогда не была клиентом компании — хотя теоретически британцы могли купить программное обеспечение «Касперского». «Эксперты „Лаборатории Касперского“ участвовали в исследованиях так называемого легального вредоносного ПО, создаваемого Gamma Group и другими аналогичными компаниями, продукты компании защищают от него наших клиентов», — добавил Булай. По его словам, аналитики компании не имели доступа к компьютерам Gamma Group, и «Лаборатории» неизвестно, кто стоял за утечкой данных британской компании. В Gamma Group не ответили на вопросы, связанные с «Лабораторией Касперского».


Евгений Касперский на открытии математической школы в Подмосковье, 1 сентября 2017 года


Валерий Шарифулин / ТАСС / Scanpix / LETA


Евгений Касперский, по словам бывшего топ-менеджера «Лаборатории», в спорах технарей с силовиками не участвовал. «Во-первых, он боится этих ребят сам, — объясняет собеседник „Медузы“. — Они могли при всех на него рыкнуть: „Че, тебе есть что сказать?“ По-гопнически так. Вообще, стиль общения у них был даже не ментовско-эфэсбэшный, а скорее вертухайский». При этом, как сообщал Bloomberg в марте 2015 года, Касперский вместе с Чекуновым и другими сотрудниками регулярно ходили в баню, что тоже не нравилось технарям. Forbes указывал, что иностранные менеджеры компании жаловались Гребенникову, будто их хотят убрать из компании, потому что они «водку не пьют, в баню не ходят».

В феврале 2014 года, когда конфликт между разными командами «Касперского» был в самом разгаре, Гребенников вместе с иностранными топ-менеджерами подловили Евгения Касперского на конференции в доминиканской Пунта-Кане и представили свой план развития компании. Как вспоминал Гребенников в интервью Forbes, план этот в том числе предлагал и понижение влиятельного представителя «клана силовиков» Тихонова: из исполнительного директора он должен был перейти в советники. Выслушав топ-менеджеров, основатель компании вскоре сообщил коллегам, что намерен уволить Гребенникова. В конце апреля 2014-го он вызвал технического директора к себе в кабинет и сказал ему, что тот «предал компанию». «У революционеров два пути: либо трон, либо Сибирь. Вы идете в Сибирь!» — сказал, по словам Гребенникова, Касперский.

В результате к осени 2014 года были уволены шесть российских и иностранных топ-менеджеров — борьба силовиков с двумя другими кланами закончилась полной победой. «Чекунов с [тогдашним коммерческим директором „Лаборатории“ Гарри] Кондаковым избавились от этого квазипреемника [Гребенникова], ничего не понимающего в корпоративных интригах», — предполагал, комментируя публикацию Forbes об уходе Гребенникова на сайте Roem, муж Натальи Касперской Игорь Ашманов.

По словам бывшего топ-менеджера «Касперского», после разгрома «технарей» проблем с получением доступа к KSN у Чекунова и его группы уже не было.

«Касперский» против США
Совместные водные процедуры с людьми из ФСБ вскоре обернулись первой репутационной угрозой для «Лаборатории». В марте 2015 года Bloomberg опубликовал расследование «Компания, которая защищает ваш интернет, связана с российской разведкой»: в нем, в частности, упоминалось, что Касперский ходит в баню с сотрудниками спецслужб. Агентство указывало, что с 2012-го людей, связанных с государством, в компании стало больше — и что «Лаборатория» никогда не расследует российский кибершпионаж. Сам Касперский заявил, что когда он ходит с людьми в баню, для него они просто друзья. «Я хожу в сауну со своими коллегами. Не исключено, что одновременно то же здание посещают сотрудники российских спецслужб, но я их не знаю», — писал Касперский в своем блоге, критикуя публикацию Bloomberg.

Настоящие проблемы у «Лаборатории Касперского» начались через два года — в разгар обсуждения возможных попыток хакеров, якобы связанных с российским государством, вмешаться в ход выборов президента США. 11 мая 2017-го этот вопрос обсуждался на слушаниях в американском сенате; когда один из сенаторов спросил, доверяют ли руководители американских силовых ведомств компании Касперского, все шестеро ответили отрицательно. В июле тот же Bloomberg опубликовал новое расследование: на сей раз в нем фигурировала внутренняя переписка работников «Лаборатории», из которой следовало, что компания активно сотрудничает с ФСБ и разрабатывает программное обеспечение для борьбы с хакерами по заказу ведомства. Кроме прочего, в письмах упоминались некие «активные контрмеры» — под этими словами, как указывали журналисты, могла подразумеваться слежка за хакерами и выезд сотрудников «Лаборатории» на рейды вместе с силовиками. Куратором сотрудничества с ФСБ агентство называло того же Чекунова. (Евгений Касперский писал, что под «активным противодействием» подразумевается «техническая экспертиза, которая поможет национальным и международным киберполицейским органам выявить и нейтрализовать киберпреступников».)





Сенатор от Флориды Марко Рубио задает вопрос о продуктах «Лаборатории Касперского» на слушаниях по вмешательству России в выборы президента США, 5 ноября 2017 года


Larry Henry


В «Лаборатории Касперского» также заявили, что у них «нет и не было неэтичных связей», но американцы, для которых к тому времени любое упоминание о связи с Россией превратилось в приговор, уже не слушали. Американских сотрудников «Лаборатории» начали вызывать на допросы (кстати пришелся и тот факт, что компания платила за выступление на форуме по кибербезопасности опальному Майклу Флинну незадолго до того, как его назначили советником Трампа по национальной безопасности). В июле компанию исключили из списка авторизованных поставщиков для госзакупок; а в сентябре последовал и официальный запрет на использование антивируса американскими государственными учреждениями. В тексте, обосновывающем этот запрет, отдельно упоминалась KSN как технология, при использовании которой необходимо «согласиться на перемещение большого количества частных данных на серверы „Касперского“».

Впрочем, главное обвинение в адрес «Касперского» попало в публичный доступ осенью. 10 октября крупнейшие американские издания — The New York Times, The Washington Post, The Wall Street Journal — опубликовали материалы, в которых утверждалось, что сотрудники «Лаборатории Касперского» имели доступ к секретным файлам Агентства национальной безопасности США. Сведения об этом появились благодаря израильским спецслужбам, которые взломали «Лабораторию» еще в 2015 году (и рассказали об этом американцам). Израильтяне утверждали, что провели собственный эксперимент — и выяснили, что антивирус специально ищет файлы, похожие на секретные.

«Возможности системы это прекрасно позволяют, — уверен один из бывших топ-менеджеров „Лаборатории“. — Можно спокойно искать по ключевым словам все интересующие Москву файлы с определенными названиями».

Вскоре выяснилось, что утечка файлов АНБ произошла с домашнего компьютера одного из сотрудников агентства — на нем был установлен антивирус Касперского. «Лаборатория» ответила на публикации американской прессы заявлением, в котором признала, что KSN идентифицировала файлы на компьютере сотрудника как потенциально вредоносные — и действительно отправила их во внутреннюю сеть «Лаборатории». Евгений Касперский категорически отрицает, что его программы могли целенаправленно искать секретные файлы. Одновременно основатель «Лаборатории» утверждает, что обнаруженный системой архив содержал вредоносные файлы (например, эксплойты), связанные с хакерской группировкой Equation Group, — то есть, по сути, полученные компанией данные показывали, что АНБ связано с разработками кибероружия. По его словам, когда он узнал об обнаруженном грифе секретности, то немедленно приказал удалить скачанные системой файлы. Касперский не уточняет, сообщал ли он АНБ об этом инциденте.

«Ни юридический отдел компании, ни служба безопасности, ни отдел расследования компьютерных инцидентов не обладают доступом к Kaspersky Security Network», — уверяет представитель «Лаборатории» Булай. По его словам, такой доступ есть только у сотрудников департамента исследований и разработки, а полученную системой информацию компания использует «только в обезличенном виде и в виде данных общей статистики».

К тому моменту, как «Лабораторию Касперского» прямо обвинили в кибершпионаже в интересах ФСБ, один из ключевых сотрудников компании уже несколько месяцев сидел в российской тюрьме. Руководитель «орков», помогавших спецслужбам, Руслан Стоянов был арестован в январе 2017 года — вскоре после ареста Сергея Михайлова, одного из руководителей Центра информационной безопасности ФСБ, важнейшего среди российских силовиков специалиста по киберпреступности. Обоих обвиняют в госизмене; данные следствия засекречены. Однако в недавнем расследовании The Bell говорится, что Михайлов через Стоянова, с которым они много лет дружили, делился с зарубежными спецслужбами информацией о российских хакерах (некоторые из этих хакеров заявляли, что у них есть «крыша» в ФСБ). Источники The Bell утверждают: о том, кто стоял за взломом Демократической партии (в Америке предполагают, что атаки курировало Главное управление Минобороны РФ), в США узнали тоже от Михайлова и Стоянова.

По словам бывшего топ-менеджера «Лаборатории Касперского», Касперский часто ходил в баню именно вместе с Михайловым и Стояновым.


Руслан Стоянов, бывший глава отдела расследований компьютерных инцидентов «Лаборатории Касперского»


Страница Руслана Стоянова в Facebook


В «Лаборатории» заявляли, что арест Стоянова никак не связан с его работой на Касперского. Сам Стоянов в апреле 2017 года отправил из тюрьмы письмо российским властям, в котором предостерег их от того, чтобы давать хакерам «иммунитет от возмездия за кражу денег в других странах в обмен на разведданные». «Если государство вдруг решит прижать волну „патриотического“ хакерства, то сразу столкнется с огромным технологическим и кадровым превосходством новой российской киберпреступности. Например, на расследование инфраструктуры группы Lurk у нас ушло около двух лет, — писал бывший глава „орков“. — Только представьте, что такую группу консультировали бы госслужащие, а в „Лаборатории Касперского“ уже бы часть отдела экспертов посадили, а часть сделали бы неработоспособной. Это выглядит как полный кошмар». В августе 2017 года один из обвиняемых по делу Lurk заявил в суде, что под присмотром кураторов из ФСБ участвовал во взломе серверов Демократической партии США и переписки Хиллари Клинтон.

В декабре 2017 года «Лаборатория Касперского» подала на американское правительство в суд: в иске указано, что запрет, наложенный министерством внутренней безопасности, неконституционен, поскольку основан на сомнительных доказательствах и нарушает право компании на справедливое разбирательство.

19 января компания Касперского отчиталась о финансовых показателях за 2017 год: в заявлении говорится, что общая выручка «Лаборатории» увеличилась на 8%, в то время как объем продаж в Северной Америке снизился на те же 8%. При этом бывший топ-менеджер компании утверждает, что «сейчас в Америке „Касперский“ фактически закрыт, осталась одна маленькая команда в Бостоне». По его словам, у компании также есть офисы во Флориде и Сиэтле, но там работают по два-три сотрудника. От продаж антивируса отказались крупные американские торговые сети, например BestBuy. В декабре 2017 года компания официально объявила о закрытии офиса в Вашингтоне, заявив, что «его назначение исчерпано». Несколько лет назад именно с его открытия началась история партнерства «Лаборатории» с правительством США.


Илья Жегулев

При участии Дениса Дмитриева и Даниила Туровского
 
#63
Не Израилем единым. Для расследования ФБР предоставила доказательства голландская безопасность и разведка (@AIVD). Они проникли в российскую государственную группу киберпреступников Cozy Bear с лета 2014 года. Даже имели доступ к системе видеонаблюдения, разоблачающей вовлеченных хакеров.

Что еще смешно в российской ментальности - хакеры, которые ходят в офис, где рабочий день сидят под надзором чекистов.


гугло-перевод
AIVD предоставили важные доказательства вмешательства России в американские выборы. Например видео с российскими хакерами.

Агентов AIVD инфильтровали летом 2014 года в печально известную российскую hackgroup Cozy Bear. Они первыми видят, как российские хакеры выбирают цели в США в период выборов: Демократическая партия, Министерство иностранных дел и даже Белый дом. Это критические доказательства и основания для ФБР начать расследование.

Автор: Хейб Моддерколк 25 января 2018 года, 21:00

Когда в компьютерной сети университетского здания рядом с Красной площадью в Москве летом 2014 года поселяется голандский агент, он понятия не имеет о последствиях. Но через год он и его коллеги из Zoetermeer видят, как российские хакеры начинают атаковать Демократическую партию в Соединенных Штатах. Хакеры AIVD, похоже, не только вошли в здание; они находятся в компьютерной сети печально известной российской группы хакеров «Уютный медведь». И они могут видеть все, хотя русские их не видят.

Например, AIVD наблюдает, как российские хакеры бомбардируют партийное правительство Демократической партии, проникают в компьютерные системы и отправляют тысячи электронных писем и документов. Они предупреждают своих - не в раз - их американские коллеги обслуживают ЦРУ и НСА. Тем не менее, пройдут месяцы до того, как Вашингтон сможет увидеть реальную значимость этого предупреждения: русские смешались в американской избирательной битве с взломом. И хакеры AIVD видят, как все это происходит.
Важные доказательства для участия России

Голландский агент, согласно шести американским и голландским источникам с непосредственным знанием материала в Волкскранте и Ньювуоре при условии анонимности, дает важные доказательства участия России в хакерстве Демократической партии. Это также является основанием для того, чтобы ФБР начало расследование влияния этой российской интервенции на избирательную битву между кандидатом от Демократической партии Хиллари Клинтон и кандидатом от Республиканской партии Дональдом Трампом.

После выборов Трампа в мае 2017 года расследование ФБР было передано специальным прокурором Робертом Мюллером, а также сосредоточено на контактах между штабом президентской кампании Трампа и правительством России. Однако основной задачей остается расследование влияния России на выборы. Это попытка подорвать демократический процесс и акт, который обостряет отношения между двумя сверхдержавами с серией дипломатических ответных действий.

Три разведывательных агентства США с большой уверенностью говорят, что Кремль стоял за нападением на Демократическую партию. Эта уверенность, подтверждают источники, они вытекают из лет доступа хакеров AIVD к офисному пространству в центре Москвы. Доступ настолько особенный, что директора главных американских разведывательных служб слишком рады получить голландцев. Поскольку голландцы не только предоставляют технические доказательства нападения на Демократическую партию, они, похоже, знают гораздо больше.

Это «повезло», а это означает, что модуль взлома AIVD получит информацию в 2014 году, которую они могут использовать. Команда делает CNA, что означает Computer Network Attack. Этим хакерам разрешено выполнять наступательные операции: атаковать враждебные сети и проникать. Это относительно небольшая команда в более крупном цифровом бизнес-подразделении от 80 до 100 человек. Все кибер-операции связаны с этим. Одна часть фокусируется на прослушивании или запуске источников, например, в другой команде - Computer Network Defense. Это подразделение снова входит в состав Объединенного сибирского кибер-подразделения, совместного подразделения AIVD и MIVD с 300 человек.

Неизвестно, какую информацию знают хакеры о русских, но ясно, что в нем содержится ключ к определению местонахождения одной из самых известных групп хаков в мире, Cozy Bear, также называемой APT29. С 2010 года эта группа нападает на правительства, энергетические компании и телекоммуникационные компании. Компании и министерства также подвергаются нападению со стороны Cozy Bear в Нидерландах. Специалисты из лучших разведывательных служб, таких как англичане, израильтяне и американцы, охотились на них в течение многих лет, как и аналитики из крупнейших компаний кибербезопасности.
 

Progressor

Модератор
Команда форума
#64
Американцы выложили официальный отчет о многочисленных попытках проникновения российских хакеров на объекты критической инфраструктуры, в частности, энергетическую систему Америки (а также на авиационные, водные и критически важные сектора производства). По данным киберразведки Соединенных Штатов, злоумышленники из России регулярно совершают хакерские атаки на атомные электростанции.

«Теперь у нас есть доказательства того, что они [хакеры] сидят за машинами, которые подключены к системам энергетической инфраструктуры, что позволяет им в любой момент отключить их или совершить диверсию», — заявил руководитель направления кибербезопасности Symantec Эрик Чин. via

Газета Washington Post обвинила "российских хакеров" в последней кибератаке, которой подверглись электростанции США. Газета напомнила, что в декабре 2015 года российские хакеры провели атаку на энергетическую систему в Украине, оставив без электричества 225 000 человек.
 
#68
Любой ресурс, хоть каким-то краем выглядывающий в интернет, атакуется 24/7.
Кто эти падлы?
Посмотреть вложение 72350
Это реально какие-то боты.
Я когда-то делал эксперимент - ставил сервер с открытыми наружу ftp, telnet и ssh и запущенным fail2ban как сторож. Повторял эксперимент неоднократно. Так вот, рекорд был 40 минут. То есть через 40 минут после открытия портов по ssh началась попытка подбора пароля.
По телнету ломятся через 2 часа, по ftp - через 12 часов.
Даже по 80 порту примерно через пару месяцев начинают ломать. Это скриншот я делал лично с моего сервака
 
#69
Это реально какие-то боты.
Я когда-то делал эксперимент - ставил сервер с открытыми наружу ftp, telnet и ssh и запущенным fail2ban как сторож. Повторял эксперимент неоднократно. Так вот, рекорд был 40 минут. То есть через 40 минут после открытия портов по ssh началась попытка подбора пароля.
По телнету ломятся через 2 часа, по ftp - через 12 часов.
Даже по 80 порту примерно через пару месяцев начинают ломать. Это скриншот я делал лично с моего сервака
Сегодня взломщик моего RDP в отчаяньи представился как 噤扈龛耱疣蝾 (Jinhukanmo бородавки саламандра):giggle:
Потому что на ADMINISTRATOR, DIRECTOR, BOSS, SQL, SKLAD, 1C ему никто не открыл.
 
#70
Сегодня взломщик моего RDP в отчаяньи представился как 噤扈龛耱疣蝾 (Jinhukanmo бородавки саламандра):giggle:
Потому что на ADMINISTRATOR, DIRECTOR, BOSS, SQL, SKLAD, 1C ему никто не открыл.
Я где то видел в этихвашихинтернетах список наиболее часто повторяющихся логинов. Скорей всего его и подобный юзают
 
#71
Я где то видел в этихвашихинтернетах список наиболее часто повторяющихся логинов. Скорей всего его и подобный юзают
Это, похоже, пользователь, которого создаёт китайский (анти)вирус типа Tencent при заражении установке.
 
#72
Русская школота кибервоины на войне. Жены американских военных получали угрозы от российских хакеров, выдававших себя за террористов из ИГИЛ и изображавших "Киберхалифат".
Russians Posed as ISIS Hackers, Threatened US Military Wives


In this Monday, April 9, 2018, photo, Angela Ricketts poses with a screen shot of a message she received from a group claiming to be Islamic State supporters, in Bloomington, Ind. Russian spies masqueraded as Islamic State supporters to threaten vocal spouses of U.S. military personnel, including Ricketts, The Associated Press has found. (AP Photo/Michael Conroy)

The Associated Press 8 May 2018 By Raphael Satter

PARIS — Army wife Angela Ricketts was soaking in a bubble bath in her Colorado home, leafing through a memoir, when a message appeared on her iPhone from hackers threatening to slaughter her family.
"Dear Angela!" the Facebook message read. "Bloody Valentine's Day!"

"We know everything about you, your husband and your children," the message continued, claiming that the hackers operating under the flag of Islamic State militants had penetrated her computer and her phone. "We're much closer than you can even imagine."
Ricketts was one of five military wives who received death threats from the self-styled CyberCaliphate on the morning of Feb. 10, 2015. The warnings led to days of anguished media coverage of Islamic State militants' online reach.

Except it wasn't ISIS.

The Associated Press has found evidence that the women were targeted not by jihadists but by the same Russian hacking group that intervened in the American election and exposed the emails of Hillary Clinton's presidential campaign chairman, John Podesta.
The brazen false flag is a case study in the difficulty of assigning blame in a world where hackers routinely borrow one another's identities to throw investigators off track. The operation's attempt to hype the threat of radical Islam also presaged the inflammatory messages pushed by internet trolls during the U.S. presidential race.

Links between CyberCaliphate and the Russian hackers — typically nicknamed Fancy Bear or APT28 — have been documented previously. On both sides of the Atlantic, the consensus is that the two groups are closely related.
But that consensus never filtered through to the women involved, many of whom were convinced they had been targeted by Islamic State sympathizers right up until the AP contacted them.

"Never in a million years did I think that it was the Russians," said Ricketts, an author and advocate for veterans and military families. She called the revelation "mind blowing."

"It feels so hilarious and insidious at the same time."

'COMPLETELY NEW GROUND'
As Ricketts scrambled out of the tub to show the threat to her husband, nearly identical messages reached Lori Volkman, a deputy prosecutor based in Oregon who had won fame as a blogger after her husband deployed to the Middle East; Ashley Broadway-Mack, based in the Washington, D.C., area and head of an association for gay and lesbian military family members; and Amy Bushatz, an Alaska-based journalist who covers spouse and family issues for Military.com.

Liz Snell, the wife of a U.S. Marine, was at her husband's retirement ceremony in California when her phone rang. The Twitter account of her charity, Military Spouses of Strength, had been hacked. It was broadcasting public threats not only to herself and the other spouses, but also to their families and then-first lady Michelle Obama.

Snell flew home to Michigan from the ceremony, took her children and checked into a Comfort Inn for two nights.

"Any time somebody threatens your family, Mama Bear comes out," she said.

The women determined they had all received the same threats. They were also all quoted in a CNN piece about the hacking of a military Twitter feed by CyberCaliphate only a few weeks earlier. In it, they had struck a defiant tone and suspected that CyberCaliphate decided to single them out for retaliation.

"Fear is exactly what — at the time — we perceived ISIS wanted from military families," said Volkman, using another term for the Islamic State group.

Volkman was quoted in half a dozen media outlets; Bushatz wrote an article describing what happened; Ricketts, interviewed as part of a Fox News segment devoted to the menace of radical Islam, told TV host Greta Van Susteren that the nature of the threat was changing.

"Military families are prepared to deal with violence that's directed toward our soldiers," she said. "But having it directed toward us is just complete new ground."

'WE MIGHT BE SURPRISED'

A few weeks after the spouses were threatened, on April 9, 2015, the signal of French broadcaster TV5 Monde went dead.

The station's network of routers and switches had been knocked out and its internal messaging system disabled. Pasted across the station's website and Facebook page was the keffiyeh-clad logo of CyberCaliphate.

The cyberattack shocked France, coming on the heels of jihadist massacres at the satirical magazine Charlie Hebdo and a kosher supermarket that left 17 dead. French leaders decried what they saw as another blow to the country's media. Interior Minister Bernard Cazeneuve said evidence suggested the broadcaster was the victim of an act of terror.

But Guillaume Poupard, the chief of France's cybersecurity agency, pointedly declined to endorse the minister's comments when quizzed about them the day after the hack.

"We should be very prudent about the origin of the attack," he told French radio. "We might be surprised."

Government experts poring over the station's stricken servers eventually vindicated Poupard's caution, finding evidence they said pointed not to the Middle East but to Moscow.

Speaking to the AP last year, Poupard said the attack "resembles a lot what we call collectively APT28."

Russian officials in Washington and in Moscow did not respond to questions seeking comment. The Kremlin has repeatedly denied masterminding hacks against Western targets.

'THE MEDIA PLAYED RIGHT INTO IT'

Proof that the military wives were targeted by Russian hackers is laid out in a digital hit list provided to the AP by the cybersecurity company Secureworks last year. The AP has previously used the list of 4,700 Gmail addresses to outline the group's espionage campaign against journalists, defense contractors and U.S. officials. More recent AP research has found that Fancy Bear, which Secureworks dubs "Iron Twilight," was actively trying to break into the military wives' mailboxes around the time that CyberCaliphate struck.

Lee Foster, a manager with cybersecurity company FireEye, said the repeated overlap between Russian hackers and CyberCaliphate made it all but certain that the groups were linked.

"Just think of your basic probabilities," he said.

CyberCaliphate faded from view after the TV5 Monde hack, but the over-the-top threats issued by the gang of make-believe militants found an echo in the anti-Muslim sentiment whipped up by a St. Petersburg troll farm — an organization whose operations were laid bare by a U.S. special prosecutor's indictment earlier this year.

The trolls — Russian employees paid to seed American social media with disinformation — often hyped the threat of Islamic State militants to the United States. A few months before CyberCaliphate first won attention by hijacking various media organizations' Twitter accounts, for example, the trolls were spreading false rumors about an Islamic State attack in Louisiana and a counterfeit video appearing to show an American soldier firing into a Quran.

The AP has found no link between CyberCaliphate and the St. Petersburg trolls, but their aims appeared to be the same: keep tension at a boil and radical Islam in the headlines.

By that measure, CyberCaliphate's targeting of media outlets like TV5 Monde and the military spouses succeeded handily.
Ricketts, the author, said that by planting threats with some of the most vocal members of the military community, CyberCaliphate guaranteed maximum press coverage.

"Not only did we play right into their hands by freaking out, but the media played right into it," she said. "We reacted in a way that was probably exactly what they were hoping for."
___
Satter reported from Paris. Associated Press writers Michael Conroy in Bloomington, Indiana; Jeff Donn in Plymouth, Massachusetts; and Desmond Butler in Washington contributed to this report.
This article was written by Raphael Satter from The Associated Press and was legally licensed through the NewsCred publisher network. Please direct all licensing questions to legal@newscred.com.
 
#73
Русская школота кибервоины на войне. Жены американских военных получали угрозы от российских хакеров, выдававших себя за террористов из ИГИЛ и изображавших "Киберхалифат".
Как минимум выглядит по скотски.
Думаю ответка нам обязательно прилетит( Но после ЧМ2018
 
#74
Кибервоины пилят свою malware BlackEnergy дальше, малоэффективная атака третьей версии в 2015 по объектам в Украине лишь заставила бойцов "научных рот" удвоить усилия.

VPNFilter

Talos Group - May 23, 2018

Intro

For several months, Talos has been working with public- and private-sector threat intelligence partners and law enforcement in researching an advanced, likey state-sponsored or state-affiliated actor’s widespread use of a sophisticated modular malware system we call “VPNFilter.” We have not completed our research, but recent events have convinced us that the correct way forward is to now share our findings so that affected parties can take the appropriate action to defend themselves. In particular, the code of this malware overlaps with versions of the BlackEnergy malware — which was responsible for multiple large-scale attacks that targeted devices in Ukraine. While this isn’t definitive by any means, we have also observed VPNFilter, a potentially destructive malware, actively infecting Ukrainian hosts at an alarming rate, utilizing a command and control (C2) infrastructure dedicated to that country. Weighing these factors together, we felt it was best to publish our findings so far prior to completing our research. Publishing early means that we don’t yet have all the answers — we may not even have all the questions — so this blog represents our findings as of today, and we will update our findings as we continue our investigation.

Both the scale and the capability of this operation are concerning. Working with our partners, we estimate the number of infected devices to be at least 500,000 in at least 54 countries. While the list may not be complete, the known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices. The behavior of this malware on networking equipment is particularly concerning, as components of the VPNFilter malware allows for theft of website credentials and monitoring of Modbus SCADA protocols. Lastly, the malware has a destructive capability that can render an infected device unusable, which can be triggered on individual victim machines or en masse, and has the potential of cutting off internet access for hundreds of thousands of victims worldwide.

The type of devices targeted by this actor are difficult to defend. They are frequently on the perimeter of the network, with no intrusion protection system (IPS) in place, and typically do not have an available host-based protection system such as an anti-virus (AV) package. We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward. All of this has contributed to the quiet growth of this threat since at least 2016.

This post provides the technical findings you would normally see in a Talos blog. In addition, we will detail some thoughts on the tradecraft behind this threat, using our findings and the background of our analysts, to discuss the possible thought process and decisions made by the actor. We will also discuss how to defend against this threat and how to handle a device that may be infected. Finally, we will share the IOCs that we have observed to this point, although we are confident there are more that we have not seen.

Read More here
 
#75
Подоспело объяснение, почему Cisco так откровенничало.

Exclusive: FBI Seizes Control of Russian Botnet
The FBI operation targets a piece of sophisticated malware linked to the same Russian hacking group that hit the Democratic National Committee in 2016.
Kevin Poulsen
05.23.18 6:25 PM ET

FBI agents armed with a court order have seized control of a key server in the Kremlin’s global botnet of 500,000 hacked routers, The Daily Beast has learned. The move positions the bureau to build a comprehensive list of victims of the attack, and short-circuits Moscow’s ability to reinfect its targets.
The FBI counter-operation goes after “VPN Filter,” a piece of sophisticated malware linked to the same Russian hacking group, known as Fancy Bear, that breached the Democratic National Committee and the Hillary Clinton campaign during the 2016 election. On Wednesday security researchers at Cisco and Symantec separately provided new details on the malware, which has turned up in 54 countries including the United States.
VPN Filter uses known vulnerabilities to infect home office routers made by Linksys, MikroTik, NETGEAR, and TP-Link. Once in place, the malware reports back to a command-and-control infrastructure that can install purpose-built plug-ins, according to the researchers. One plug-in lets the hackers eavesdrop on the victim’s Internet traffic to steal website credentials; another targets a protocol used in industrial control networks, such as those in the electric grid. A third lets the attacker cripple any or all of the infected devices at will.
The FBI has been investigating the botnet since at least August, according to court records, when agents in Pittsburgh interviewed a local resident whose home router had been infected with the Russian malware. “She voluntarily relinquished her router to the agents,” wrote FBI agent Michael McKeown, in an affidavit filed in federal court. “In addition, the victim allowed the FBI to utilize a network tap on her home network that allowed the FBI to observe the network traffic leaving the home router.”
That allowed the bureau to identify a key weakness in the malware. If a victim reboots an infected router, the malicious plugins all disappear, and only the core malware code survives. That code is programmed to connect over the Internet to a command-and-control infrastructure set up by the hackers. First it checks for particular images hosted on Photobucket.com that held hidden information in the metadata. If it can’t find those images—which have indeed been removed from Photobucket—it turns to an emergency backup control point at the hard-coded web address ToKnowAll[.]com.

“One plug-in lets the hackers eavesdrop on the victim’s Internet traffic; another targets a protocol used in the electric grid. A third lets the attacker cripple any or all of the infected devices at will.”

On Tuesday, FBI agents in Pittsburg asked federal Magistrate Judge Lisa Pupo Lenihan in Pittsburgh for an order directing the domain registration firm Verisign to hand the ToKnowAll[.]com address over to the FBI, in order to “further the investigation, disrupt the ongoing criminal activity involving the establishment and use of the botnet, and assist in the remediation efforts,” according to court records. Lenihan agreed, and on Wednesday the bureau took control of the domain.

The move effectively kills the malware’s ability to reactivate following a reboot, said Vikram Thakur, technical director at Symantec, who confirmed to the Daily Beast that the domain was taken over by law enforcement on Wednesday, but didn’t name the FBI. “The payload itself is non-persistent and will not survive if the router is restarted,” Thakur added. “That payload will vanish.”

In other words, average consumers have the ability to stop Russia’s latest cyber attack by rebooting their routers, which will now reach out to the FBI instead of Russian intelligence. According to the court filings, the FBI is collecting the Internet IP addresses of every compromised router that phones home to the address, so agents can use the information to clean up the global infection.
“One of the things they can do is keep track of who is currently infected and who is the victim now and pass that information to the local ISPs,” said Thakur. “Some of the ISPs have the ability to remotely restart the router. The others might even send out letters to the home users urging them to restart their devices.”

The court order only lets the FBI monitor metadata like the victim’s IP address, not content. As a technical matter, Thakur said there’s no danger of the malware sending the FBI a victim’s browser history or other sensitive data. “The threat capability is purely to ask for additional payloads,” he said. “There is no data that is leaked from these routers to the domain that is now controlled by an agency.”
Если кратко - зараженный маршрутизатор погружает код из жестко закодированного веб-адреса ToKnowAll [.] Com. ФБР взяло под свой контроль этот домен (и теперь держит в руках тестикулы всех владельцев зараженных маршрутизаторов).