WikiLeaks: CIA podszywało się pod Kaspersky Lab

WikiLeaks: CIA podszywało się pod Kaspersky Lab

WikiLeaks: CIA podszywało się pod Kaspersky Lab
09.11.2017 17:52, aktualizacja: 10.11.2017 10:12

Ostatnie miesiące minęły pod znakiem poważnych oskarżeń rzucanych wobec Kaspersky Lab – producenta popularnego oprogramowania antywirusowego. Administracja USA wespół z tamtejszymi mediami wytoczyły ciężkie działa, oskarżając firmę Jewgienija Kaspersky'ego o działalność na rzecz rosyjskiego wywiadu. Mimo że nie dostarczono na poparcie tej tezy żadnych dowodów, wykorzystanie oprogramowania zostało zakazane w amerykańskich instytucjach i firmach. Nowe światło na tę sprawę rzuciło WikiLeaks.

W październiku chmurę Kaspersky'ego spenetrowali hakerzy z Izraela. Jednostka 8200 miała zauważyć tam ruch sugerujący, że Kaspersky przeszukuje komputery użytkowników pod kątem oprogramowania wykorzystywanego przez amerykańskie służby. To wystarczyło, by w USA wybuchła panika, która nie przekonała jednak między innymi niemieckiej administracji. Niemcy wciąż wykorzystują oprogramowanie Kaspersky'ego w związku z brakiem dowodów na stawianie przez Amerykanów tezy.

Dziś WikiLeaks opublikowało dokumenty Vault8, opisujące kolejne (po Vault 7) nielegalne praktyki amerykańskich służb. Szczególną uwagę przyciąga wykorzystywane przez CIA malware Hive. Jego skuteczność opiera się na ustanawianiu wielu połączeń z serwerami wirtualnymi, które jednak przesyłają dane na serwery nazywane przez CIA Blot – proxy lub serwery VPN.

Schemat działania Hive – infrastuktura oparta na VPS-ach przesyła dane przez VPN-y i proxy nie tylko na docelowy serwer, ale także na kolejny serwer maskujący.
Schemat działania Hive – infrastuktura oparta na VPS-ach przesyła dane przez VPN-y i proxy nie tylko na docelowy serwer, ale także na kolejny serwer maskujący.

Według WikiLeaks, VPS-y wykorzystywane przez CIA są zwykłymi serwerami wirtualnymi dzierżawionymi u komercyjnych dostawców. Ffiltr iptables na apache'owym serwerze został jednak zmodyfikowany tak, aby maskować przekazywanie ruchu do serwera Blot. Do nawiązywania połączenia z VPS-em jest wykorzystywane opcjonalne weryfikowanie tożsamości w ramach protokołu SSL. W ten sposób ruch maskowany jest przez połączenia z VPS-ami.

To nie wymyślny schemat ruchu sieciowego generowanego przez Hive budzi najwięcej kontrowersji, a wykorzystywane przez CIA fałszywe certyfikaty wystawiane przez Thawte Premium Server CA. Według WikiLeaks, jedną z wykorzystywanych przez amerykańską agencję tożsamości jest... Kaspersky Lab z siedzibą w Moskwie. Kod źródłowy ujawnionego przez WikiLeaks malware został upubliczniony, podobnie jak jego dokumentacja. Zarówno przedstawiciele Kaspersky Lab, jak i amerykańska administracja, nie skomentowały jak dotąd rewelacji WikiLeaks.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (123)