Кибернаемники и легальное вредоносное ПО

Для спецслужб взлом и шпионаж — не преступление, а нормальные методы работы. Но что будет, если используемые ими средства попадут в чужие руки?

Legal Malware

Мы живем в интересное время — компьютеры и сети входят в нашу жизнь все глубже и глубже, причем происходит это с невероятной скоростью. Еще недавно они захватывали заводы и офисы, потом пробрались в кухни и гостиные. А сегодня немалой мощности компьютер с постоянным подключением к Сети лежит в кармане у каждого второго жителя планеты. И это не предел: на подходе эра Интернета вещей — в рамках данной концепции к Всемирной сети собираются подключить не то что каждый утюг, а едва ли не каждый гвоздь.

Чем большую часть своей жизни мы доверяем компьютерам, тем больший интерес они представляют для любителей покопаться в чужих секретах. Причем речь как про «силу ночи» — всевозможных компьютерных преступников, так и про «силу дня»: правоохранителей, которые используют разнообразные методы сетевого вредительства в своих целях.

Помимо теоретически противоположных целей между ними есть еще одно интересное различие: для государственных служб взломы и кибершпионаж не преступление, а вполне законные методы работы.

Феномен легального вредоносного ПО

Одним из ключевых трендов современного киберкриминального бизнеса становится легализация преступной деятельности, которая подается на рынок информационной безопасности под разными соусами. Так, например, стала широко распространена продажа уязвимостей нулевого дня, то есть таких уязвимостей, средства защиты от которых еще в принципе не разработаны.

Легализация преступной деятельности становится одним из трендов киберкриминального бизнеса

Теперь любой желающий (хорошо, почти любой — в цене подобных уязвимостей нулей с легкостью может быть и больше пяти) может приобрести средство проникновения и использовать по своему усмотрению. В теории — для укрепления собственной защиты. На практике — для чего угодно. Это можно сравнить с продажей боевых снарядов или высокотехнологичной взрывчатки.

Однако этим возможности не исчерпываются. Некоторые компании предлагают приобрести полноценный программный комплекс, позволяющий осуществить проникновение и, получив контроль над компьютером жертвы, следить за всеми ее коммуникациями. По сути, речь идет о шпионском троянце, причем весьма серьезного уровня. И это уже сравнимо с продажей укомплектованного истребителя.

FinFisher Governmental IT Intrusion

Баннер компании FinFisher рекламирует совершенно легальные средства проникновения и удаленного наблюдения

Причем спектр компаний, предоставляющих такого рода услуги, достаточно велик: от крупнейших конгломератов оборонной промышленности, которые связаны обязательствами перед правительствами, до сравнительно небольших и куда более самостоятельных частных компаний.

Последние, конечно, тоже не продают вредоносное ПО направо и налево. Но список их клиентов, очевидно, гораздо шире: он включает не только спецслужбы правительств, но и крупные корпорации. Также услугами «наемников» с удовольствием пользуются спецслужбы стран третьего мира, например Пакистана или Нигерии.

Hacking Team - Galileo

Galileo от компании Hacking Team — еще одна легальная разработка для кибершпионажа

В конце концов, нельзя забывать и о том, что реальный покупатель кибершпионских услуг может отличаться от формального: например, был случай, когда оборудование для слежки и фильтрации было продано в ОАЭ, а в итоге обнаружилось в уже попавшей к тому моменту под жесткое эмбарго Сирии.

Так или иначе, опыт «Лаборатории Касперского» однозначно свидетельствует о том, что легальное вредоносное ПО, разработанное частными компаниями, попадет не только в «добрые руки» спецслужб (насколько они на самом деле добрые, оставим за рамками этой статьи), но и в более прагматичные лапки «третьих лиц».

Одним словом, даже если вы не имеете никакого отношения ни к преступному миру, ни к политике и всю жизнь мирно починяли примус, однажды вышеупомянутый истребитель может внезапно обнаружиться у вас в гостиной.

Насколько это опасно?

Довольно-таки опасно. Такое вредоносное ПО создается для больших парней с большими деньгами. Это серьезный уровень — совсем не хулиганящие школьники и даже не мелкие жулики, пытающиеся стянуть пару сотен долларов с вашей кредитки.

В утечках создателей подобных продуктов на WikiLeaks можно обнаружить заявления о том, что их разработки проходят сквозь традиционные антивирусные технологии, словно нож сквозь масло.

Действительно, в арсенале разработчиков легального вредоносного ПО можно обнаружить массу технологий, внедренных в продукты для того, чтобы сбить с толку вирусного аналитика и не дать ему заглянуть «под капот» зловреда.

Что по этому поводу можно предпринять?

Однако практика показывает, что все-таки возможности этих технологий не безграничны: это не «магия», позволяющая бесследно проникнуть куда угодно, а пусть и очень качественный, но вполне «смертный» образец обычного вредоносного ПО. Это, в свою очередь, означает, что эвристические алгоритмы (технология обнаружения угроз, основанная на поиске подозрительных признаков, характерных для вредоносного ПО), которые несут в себе продукты «Лаборатории Касперского», способны вполне успешно отлавливать творчество «наемников».

В частности, исследование продукции компании FinFisher, одного из серьезнейших игроков рынка «легального кибероружия», показало: вопреки утверждениям разработчиков FinFisher, эвристические анализаторы, которые находятся в наших продуктах, начиная с Kaspersky Antivirus 6 (MP4), успешно фиксировали данную угрозу.

Как следствие, необходимо иметь на вооружении средства антивирусной защиты, которые несет на борту комплекс технологий борьбы с высокотехнологичными угрозами. Ведь сомнительные «инструменты борьбы с преступностью» могут оказаться в недобросовестных руках.

Советы