WikiLeaks: CIA podszywało się pod Kaspersky Lab

W październiku chmurę Kaspersky'ego spenetrowali hakerzy z Izraela. Jednostka 8200 miała zauważyć tam ruch sugerujący, że Kaspersky przeszukuje komputery użytkowników pod kątem oprogramowania wykorzystywanego przez amerykańskie służby. To wystarczyło, by w USA wybuchła panika, która nie przekonała jednak między innymi niemieckiej administracji. Niemcy wciąż wykorzystują oprogramowanie Kaspersky'ego w związku z brakiem dowodów na stawianie przez Amerykanów tezy.

Dziś WikiLeaks opublikowało dokumenty Vault8, opisujące kolejne (po Vault 7) nielegalne praktyki amerykańskich służb. Szczególną uwagę przyciąga wykorzystywane przez CIA malware Hive. Jego skuteczność opiera się na ustanawianiu wielu połączeń z serwerami wirtualnymi, które jednak przesyłają dane na serwery nazywane przez CIA Blot – proxy lub serwery VPN.

Według WikiLeaks, VPS-y wykorzystywane przez CIA są zwykłymi serwerami wirtualnymi dzierżawionymi u komercyjnych dostawców. Ffiltr iptables na apache'owym serwerze został jednak zmodyfikowany tak, aby maskować przekazywanie ruchu do serwera Blot. Do nawiązywania połączenia z VPS-em jest wykorzystywane opcjonalne weryfikowanie tożsamości w ramach protokołu SSL. W ten sposób ruch maskowany jest przez połączenia z VPS-ami.

To nie wymyślny schemat ruchu sieciowego generowanego przez Hive budzi najwięcej kontrowersji, a wykorzystywane przez CIA fałszywe certyfikaty wystawiane przez Thawte Premium Server CA. Według WikiLeaks, jedną z wykorzystywanych przez amerykańską agencję tożsamości jest... Kaspersky Lab z siedzibą w Moskwie. Kod źródłowy ujawnionego przez WikiLeaks malware został upubliczniony, podobnie jak jego dokumentacja. Zarówno przedstawiciele Kaspersky Lab, jak i amerykańska administracja, nie skomentowały jak dotąd rewelacji WikiLeaks.