Шпионский след: у итальянской кибергруппы оказались российские госзаказчики

Фото Helen H. Richardson / The Denver Post

Stub — Фото Helen H. Richardson / The Denver Post

Зачем госструктуры и спецслужбы покупают за рубежом инструменты для шпионажа?

Летом 2012 года в Аналитическом центре при Правительстве РФ двое сотрудников британской компании IMSL провели для госчиновников необычный тренинг — демонстрировали возможности американской системы интеллектуального анализа данных Palantir, которой пользуются в АНБ, ЦРУ, ФБР и глобальных корпорациях. Как рассказал Forbes один из участников тренинга, Palantir планировали использовать в Аналитическом центре при Правительстве РФ, Минэкономразвития, структурах Открытого правительства. Связь Palantir cо спецслужбами — разработку системы наряду с Питером Тилем финансировал венчурный фонд ЦРУ In-Q-Tel — российских чиновников вроде бы тогда не смущала. «Насколько я знаю, ЦИБ ФСБ был не против, им было даже интересно изучить принципы работы Palantir изнутри, а в будущем — создать российский аналог», — говорит Тимур Хамдамов, бывший советник управления непрерывного мониторинга и оперативного анализа Аналитического центра.

В здании центра на Академика Сахарова Palantir так и не заработал. «Вопрос уперся в бюджетирование, за установку тестового комплекта американцы запросили около $1,2 млн», — вспоминает Хамдамов. Впрочем, недавняя утечка у итальянской кибергруппы Hacking Team (@hackingteam) показала, что в отдельных случаях госструктуры и силовые ведомства не экономят на закупке шпионского ПО за границей, правда стараются такие покупки не афишировать и проводят через цепочку компаний-посредников. Зачем российским силовикам шпионское ПО?

Сотрудник спецслужб удаленно подключается к чужому компьютеру или смартфону, включает на запись камеру и микрофон, записывает вводимые с клавиатуры символы, а потом отправляет себе особо ценную информацию.

Сюжет шпионского фильма? Вовсе нет — это стандартные возможности системы Remote Control System, разработанной итальянской компанией Hacking Team, которую организация «Репортеры без границ» причисляла к «врагам интернета». После атаки на эту компанию в сети начал распространяться архив объемом 400 Гб с якобы конфиденциальной информацией — договора, переписка с клиентами, исходные коды программ. Представитель компании Кристиан Поцци в своем Twitter написал, что данная информация является фальшивкой, но позднее его аккаунт был тоже взломан.

Среди клиентов Hacking Team оказались правоохранительные органы и спецслужбы различных государств — австралийская полиция, МВД ОАЭ, Служба национальной безопасности Узбекистана, Министерство обороны США и другие. Согласно документам, Hacking Team продавала свою систему даже в Судан, хотя раньше, как пишут СМИ, отрицала этот факт.

Были у Hacking Team, согласно данным, оказавшимся в открытом доступе, покупатели и из России — некое Kvant.

В России есть несколько предприятия с таким названием. Самые крупные — входящее в «Ростех» ФГУП НПП «Квант», разработчик военных технологий радиоразведки, и ФГУП НИИ «Квант», создававший во времена СССР суперкомпьютеры, а сейчас разрабатывающий ПО, комплексы обработки данных и системы защиты информации для госорганов и силовых структур. «Я знаю как минимум четыре предприятия с названием «Квант» — два в Москве, одно в Зеленограде, одно в Новгороде. Каждое из них, в принципе, могло сделать подобный заказ, — сообщил Forbes бывший сотрудник НИИ «Квант». — В таких заказах видны только посредники и интеграторы. Конечный покупатель никогда не засветится».

Судя по всему, так происходило и в истории с Hacking Team. Источники Forbes на рынке информационной безопасности считают, что шпионское ПО скорее всего покупали в интересах ФГУП НИИ «Квант», подконтрольного ФСБ, но в самом институте на запрос Forbes не ответили. Как утверждается на сайте, предприятие обслуживает «государственные и общественные потребности в области создания специальных технических и программных средств». По данным СПАРК, 2013 год «Квант» закончил с выручкой 2 млрд рублей и с прибылью около 50 млн рублей.

Согласно оказавшимся в публичном доступе из-за утечки договорам, «Квант» покупал шпионское оборудование не сам, а через компанию «ИнфоТекс» — это крупнейший российский вендор, специализирующийся на разработках и продвижении средств защиты информации. Клиентами являются ФСО, Минобороны, МВД, казначейство, генпрокуратура, федеральная служба по труду и занятости. «Инфотекс» не раскрывает свою финансовую отчетность. Однако в базе СПАРК есть перечень госконтрактов, выигранных компанией: с 2007 по 2015 год компания заключила более 70 контрактов с госструктурами на сумму около 1,2 млрд рублей. Самый крупный контракт на 753 млн рублей «ИнфоТекс» заключил в июне 2015 года: компания поставит структурам МВД средства криптографической информации. На сайте госзакупок Forbes не удалось найти данные о закупках «Кванта» у компании «ИнфоТекс».

«Закупка через третьи руки всегда была инструментом работы спецслужб, — замечает эксперт по информационной безопасности, выпускник Академии ФСБ. — Например, надо пополнять базу уязвимостей. Или, если речь идет о боевых вирусах, то можно купить их для получения шаблонов противодействия». «Силовые ведомства, МВД, например, не могут напрямую закупать что-либо, а только через специальные лицензированные компании типа НИИ. А институт не может напрямую покупать что-то у зарубежной компании. Отсюда цепочка поставщиков», — поясняет Алиса Шевченко, технический директор компании «Цифровое оружие и защита».

Судя по документам, в декабре 2012 года «ИнфоТекс» купила за €390 000 Remote Control System (RCS), в ноябре 2013 года — Remote Control System Maintenance Renewal за €61 000. Эксперты считают, что речь идет о боевых вирусах (троянах, руткитах), которые в обход антивирусов позволяют скрытно управлять компьютером. «Подобный софт используют для поимки преступников и террористов, для внутреннего пентеста (тест на уязвимость системы), а также для контрактного пентеста с целью обоснования бюджетов на закупку защитного ПО — для России наиболее актуальный вариант», — поясняет Шевченко.

Покупки были сделаны еще до того, как в России был взят курс на импортозамещение ПО, но и сейчас на практике часто цель оправдывает средства.

«Когда нужны особые инструменты для работы, то покупают все и у всех, без оглядки на национальные границы, законы и общественное мнение, — уверяет Шевченко. — Общий принцип при работе с инструментарием offensive security — «инструментов много не бывает». Исключение может быть только, когда речь идет о внешней разведке. «Под серьезные шпионские задачи как раз логично делать свое, а не закупать от зарубежных компаний», — замечает Шевченко.

В мире существуют два главных конкурента по продаже шпионского ПО спецслужбам, правоохранительным органам и правительствам — немецкая FinFisher и итальянская Hacking Team, рассказывает директор компании Digital Security Илья Медведовский. По его словам, задача таких шпионских программ — троянов, руткитов — проникнуть на компьютер злоумышленника и получить нужную информацию. «Указанная в опубликованных договорах цена в €450 000 вполне рыночная, стоимость максимального пакета шпионского ПО у этих компаний составляет порядка €1,2 млн», — замечает директор Digital Security.

Впрочем, некоторые эксперты не исключают, что купленое импортное ПО могут выдать за собственные продукты — экономить на разработке всегда приятно. «Это известный же механизм: покупаем, потом продаем как собственные результаты», — считает сотрудник Информационно-технического центра Федеральной службы по тарифам. «Обычно покупали втемную, а тут первый раз в жизни запалились, — настаивает другой эксперт Forbes. — Вообще это позор — такой ширпотреб покупают обычно страны третьего мира, для серьезных спецслужб эта побрякушка бесполезная». По словам собеседника Forbes, судя по тому отрывку кода, который был опубликован, эта программа могла еще и содержать backdoor — кусок кода, позволяющим следить за покупателем системы. В экстренных ситуациях Hacking Team может удаленно прекратить все операции с разработанным ею ПО.

Российская антивирусная компания «Лаборатория Касперского» уже несколько лет следит за деятельностью Hacking Team. Эксперты компании выяснили, что в управлении системой используются 326 серверов, большая часть из которых в США, Казахстане, Эквадоре, Великобритании и Канаде. В России таких серверов в июне 2014 года было пять. При этом в «Лаборатории Касперского» отмечают, что сервера не обязательно могут использоваться правительством той страны, где они находятся.

Уже после публикации заметки на сайте представители «ИнфоТекс» подтвердили Forbes факт заключения контракта с итальянской компанией Hacking Team на приобретение RCS. "ИнфоТеКС, являясь разработчиком средств защиты информации в т.ч. и для мобильных платформ iOS, Android, серьезно озабочена отрицательными последствиями применения систем, подобных RCS, против интересов своих заказчиков, среди которых множество российских государственных организаций и структур, - сообщили Forbes в компании. - Приобретение RCS и изучение принципов функционирования этого решения способствовало повышению уровня экспертизы компании в области практической информационной безопасности и увеличению уровня защищенности собственных продуктов". Представитель компании заверил, что приобретенная система RCS не эксплуатировалась ИнфоТеКСом по своему прямому назначению и на обслуживание в Hacking Team не ставилась, о чем свидетельствуют раскрытые данные из архивов HackingTeam.