«Лаборатория Касперского» использовала фальшивые атаки для саботажа работы конкурентов

По данным Reuters, «Лаборатория Касперского» в течение десяти лет с 2003 по 2013 годы использовала сервисы, предназначенные для обмена информацией о вирусных угрозах между компаниями, не по прямому назначению. Она помечала важные файлы как вирусные, в результате чего то же самое делали её конкуренты, а их продукты удаляли эти файлы с компьютеров пользователей.

Главная методика «Лаборатория Касперского» заключалась в изменении системных файлов так, чтобы антивирусные механизмы других компаний считали их вредоносными. После этого изменения файл отправлялся в базу VirusTotal либо анонимно, либо от имени пользователя. Конкуренты «Лаборатории Касперского» видели, какие файлы помечаются опасными и также начинали считать опасными те системные файлы, которые не были изменены. Основной мишенью «Лаборатории Касперского» стали такие антивирусные компании, как Avast! и AVG. Кроме того, под удар была поставлена компания Microsoft, поскольку её оценка доверяло большинство участников рынка.

Руководитель антивирусного направления в Microsoft Дэннис Батчелдер заявил Reuters в апреле этого года, что в ходе исследования специалистами компании было выявлено несколько сотен или даже тысячи файлов, которые из-за незначительного изменения в коде многими антивирусными инструментами помечались как заражённые. Чья в этом вина, он предпочёл не говорить (вероятно из-за того, что Microsoft не удалось найти доказательств тому, что файлы были помечены вирусными в «Лаборатория Касперского»).

По словам названных источников, акции по вбросу в VirusTotal недостоверной информации о заражённых файлах проводились периодически, а их инициатором якобы был лично глава компании Евгений Касперский. Таким образом он будто бы пытался проучить конкурентов, которые воровали технологии в сфере информационной безопасности.

Пик атак пришёлся на период с 2009 по 2013 годы. В настоящее время вбросы почти не проводятся, в том числе и из-за того, что технологии распознавания вирусного кода за последние несколько лет были усовершенствованы, а доверие к общим базам вирусов снизилось.

Зарубежные издания несколько раз рассказывали о неприемлемых методах работы «Лаборатории Касперского». Так, в марте этого года Bloomberg опубликовал статью, «Антивирусная компания тесно связана с российскими спецслужбами», в которой рассказывалось, будто «Лаборатория Касперского» тесно сотрудничает с российскими правоохранительными органами (в частности с ФСБ, бывшем месте работы Касперского). Евгений Касперский тогда опубликовал в своём блоге подробное опровержение этой статьи.

«Лаборатория Касперского» утверждает, что непричастна к атакам и вбросам, более того — сама стала жертвой подобной атаки в 2013 году, когда кто-то ложно пометил файлы из программ Mail.ru, Steam и Tencent заражёнными. Он также предоставила официальный ответ на публикацию в Reuters:

Вопреки обвинениям в статье, опубликованной агентством новостей Reuters, «Лаборатория Касперского» никогда не проводила кампаний с целью ввести конкурентов в заблуждение и заставить их решения выдавать ложные позитивные срабатывания. Подобные действия неэтичны, нечестны, а их законность по меньшей мере сомнительна. Анонимные заявления раздраженных бывших сотрудников о том, что «Лаборатория Касперского» или ее генеральный директор были вовлечены в подобные инциденты, не имеют оснований и попросту являются ложными.

Мы делимся данными о киберугрозах и сложных кибератаках с другими вендорами индустрии информационной безопасности и, в свою очередь, получаем и анализируем подобную информацию от других игроков. И хотя рынок защитного ПО является высоко конкурентным, процесс обмена такого рода данными критически важен для безопасности всей IT-экосистемы, и мы боремся за то, чтобы этот обмен не был скомпрометирован.

В 2010 году мы однократно провели эксперимент с целью привлечь внимание сообщества IT-безопасности к проблеме недостоверности и ненадежности детектирования, основанного лишь на показаниях мультисканера, без изучения поведения файлов. В рамках этого эксперимента мы загрузили 20 невредоносных, «чистых» файлов в мультисканер VirusTotal, что не могло привести к ложным срабатываниям, поскольку файлы были абсолютно безобидными. После эксперимента мы обсудили проблему с представителями индустрии и пришли к соглашению. Все образцы были также переданы журналистам для самостоятельного тестирования.

В 2012 году в VirusTotal были загружены вредоносные файлы, что привело к серии инцидентов с ложными позитивными срабатываниями, «Лаборатория Касперского» оказалась в числе пострадавших компаний. Для решения этой проблемы в октябре 2013 года во время конференции Virus Bulletin в Берлине состоялась закрытая встреча ведущих антивирусных вендоров для обмена информацией об инцидентах. Кто стоит за этой кампанией, до сих пор не установлено.

Добавить комментарий