אינטרנט

חוקר אבטחה: האנטי וירוס של קספרסקי יכול לשמש לריגול

מומחה מחברה Digita הצליח לבצע שינויים באחד ממוצרי ענקית הסייבר הרוסית, כך שהפך לכלי יירוט חשאי של מסמכים. קספרסקי טענה שמדובר בשינויים שאינם ניתנים לביצוע במתאר שתואם ריגול מקוון

רפאל קאהאן 14:2802.01.18

חוקרי אבטחת מידע גילו שניתן להשתמש באנטי וירוס של חברת קספרסקי לריגול אחר מחשבי משתמשים. פטריק וורדל, סמנכ"ל המחקר של חברת הסייבר Digita, מסר לניו יורק טיימס שתוכנת האבטחה האמורה מסוגלת לאתר מידע נסתר במחשבים באופן חשאי.

 

 

"באופן אירוני, לא מעט מוצרי אבטחת מידע כוללים מאפיינים משותפים לתוכנות הריגול שהם מנסים לזהות", אמר וורדל. המחקר שלו התבסס על פרטים שנחשפו במסגרת חקירת הפריצה למחלקת ביטחון המדינה בארה"ב, לאחריה החל קמפיין להחרמת מוצרי קספרסקי במדינה. יוג'ין קספרסקי, מנכ"ל חברת האבטחה הנושאת את שמו, טען בזמנו שישמח להעמיד את קוד המקור של מוצריו לבדיקת השלטונות, כדי להוכיח שאין לטענות אחיזה במציאות.

 

מטה קספרסקי במוסקבה מטה קספרסקי במוסקבה צילום: Getty

 

 

לדברי וורדל, האנטי וירוס של קספרסקי מסוגל לבצע סריקה מעמיקה של מחשבי הלקוחות ולמצוא בהם מסמכים ספציפיים, אם מבצעים שינוי מהותי במבנהו, שמועבר לתוכנה כעדכון. האנטי וירוס נשען על זיהוי חתימות של נוזקות לאיתורן, ולאחר השינוי, הוא הופך לכלי חיפוש פנימי. בעזרתו, יכול תוקף לאתר מסמכים חשאיים על בסיס מילות מפתח כמו "סודי ביותר". את מנגנון החיפוש הזה אפשר להזריק לשרת ספציפי, מה שיכול לסייע לארגוני ביון ללמוד על רשתות ולאתר מידע רגיש.

  

וורדל לא רק זיהה את המנגנון, אלא השתמש בו: הוא הכין קובץ טקסט שמכיל מילות מפתח מסוימות (TS/TSI) בהן מסמנים מסמכים סודיים ב-NSA. לאחר מכן הוא הקים כלל בתוך מנגנון החיפוש של האנטי וירוס שיזהה קבצים שמכילים את מילת המפתח. כאשר הפעיל את האפליקציה, היא זיהתה מיד את מילות המפתח, בודדה את הקובץ שהכיל אותה ושלחה את המידע חזרה לשרתים של קספרסקי.

 

על אף שקספרסקי נמצאת תחת זכוכית מגדלת בארצות הברית, ככל הנראה שאנטי וירוסים נוספים חשופים אף הם לשינוי תכליתם באופן דומה; חברות אבטחה משתמשות במידע שנשלח לשרתים שלהן כדי לבודד איומי סייבר ולנתח אותם. עם זאת, לא ברור כיצד המערכת זיהתה קובץ טקסט כאיום תוך התבססות בלעדית על מילות מפתח פשוטות.

 

קספרסקי: עדכון זדוני הוא בלתי אפשרי

 

בקספרסקי הסבירו לניו יורק טיימס שהחברה אינה יכולה לברור את העדכון שמועבר ללקוחות, מכיוון שמדובר בקבצים חתומים דיגיטלית ושזמינים לכל הלקוחות במקביל. מסיבה זו, לא יתכן שעדכון זדוני לאנטי וירוס שלה יהפוך אותו לכלי ריגול שנועד לפעול על מטרה ספציפית. בנוסף, קשה להאמין שחברת אבטחה תשתול כלי ניטור במוצרים שלה בעצמה - שכן אין בכך היגיון עסקי; ברגע שפעולה כזו תיחשף, החברה תאבד את מקור ההכנסה המרכזי שלה.

 

עם זאת, וורדל דייק את ממצאיו והסביר שמדובר במנגנון חיפוש שניתן לשימוש שלא בידיעת היצרן, עם זאת הוא דורש גישה למערכות של המפתחת - משהו שידוע שהיה זמין בעבר לסוכני ה-FSB (שירות הביטחון והביון הרוסי); לפיכך, יתכן שמישהו עושה שימוש פסול במוצרי קספרסקי, ללא ידיעת החברה עצמה.

 

 

 

מסמכים שחשף אדוארד סנודן הראו שחברת קספרסקי עלתה על הכוונת של ה-NSA עוד לפני כעשר שנים. בזמנו עלו חשדות שמוצריה משמשים לריגול ולפריצה של מערכות אבטחה של חברות כצ'קפוינט הישראלית ו-Avast הצ'כית. מערכות קספרסקי עצמה נפרצו בעבר, בידי גורמים שנטען שמקורם בישראל. יוג'ין קספרסקי עצמו הודה בעבר באזני "כלכליסט" שאכן היו ניסיונות של גורמים שהוא זיהה כישראלים לפרוץ למערכות החברה. עם זאת, לא אישר שמידע חסוי נחשף באותן פריצות. לפני מספר חודשים הודיע ה-NSA שעובד של הסוכנות שלקח מסמכים מסווגים לעבודה בביתו נחשף לגורמים רוסים דרך תוכנת האנטי-וירוס של החברה שהותקנה על מחשבו.

בטל שלח
    לכל התגובות
    x