Согласно сайту компании «Код безопасности», клиентами этого разработчика компьютерной защиты государственных информационных систем, а также программ обнаружения и предупреждения вторжений и защиты государственной тайны, являются Министерство обороны, Федеральная служба охраны, Генеральная прокуратура, Министерство внутренних дел, а также Центральный банк России.
Тем не менее, как сообщает источник из правоохранительных органов, сервер компании, выполняющей такие важные господряды, оказался заражен вирусами для майнинга криптовалют. Более того, эту информацию подтвердили антивирусный эксперт «Лаборатории Касперского» Денис Легезо и эксперт по информационной безопасности компании Cisco Алексей Лукацкий.
25 и 26 февраля на официальном ftp-сервере «Кода безопасности», на котором компания хранит свои продукты и обновления к ним, обнаружились многочисленные файлы под названием Photo.scr. Проверка файлов через онлайн-сканер «Доктора Веба» подтвердила, что они заражены Trojan.Btcmine.1214, предназначенным для майнинга криптовалют.
«Мы детектируем их как Trojan.Win32.Miner, – объясняет Денис Легезо. – Распространение через открытые ftp-сайты – это один из методов доставки этого вредоноса жертвам. Второй метод – инфицированные дистрибутивы на сайтах с бесплатным ПО. Функциональность у этой заразы простая – автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты».
Тем не менее, в самой компании, обслуживающей ФСО, утверждают, что «так и было задумано».
«На нашем ftp-сервере в разделе «Демо-версии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте. Подобная практика применяется практически всеми производителями средств защиты информации. Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью – заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», – утверждает директор по информационным технологиям «Кода безопасности» Илья Евсеев.
Однако этим объяснениям противоречит тот факт, что вредоносные файлы находились не только в разделе с демо-версиями. При этом, после того, как новость о заражении попала в прессу, перестал открываться весь раздел с продуктами компании на ftp-сервере.
«Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», – продолжают оправдываться в «Коде безопасности», утверждая также, что они проводят проверку сервера, после чего он будет работать в нормальном режиме.
Впрочем, эксперты говорят, что даже если слова представителей компании правда, то её сотрудникам грозит уголовная ответственность за сознательное размещение вредоносных файлов на корпоративном сервере.
«Вне зависимости от того, в каких целях вредоносный софт был размещен на сайте разработчика, в благих или корыстных, данное деяние может быть квалифицировано как распространение вредоносных компьютерных программ, поскольку де-факто размещенные на сайте файлы были доступны для скачивания неограниченному кругу лиц, и состав преступления в конкретном случае достаточно очевиден. В соответствии со ст. 273 УК («Создание, использование и распространение вредоносных программ для ЭВМ») за подобное предусмотрена уголовная ответственность», – поясняет исполнительный директор HEADS Consulting Никита Куликов.
Максимальное наказание по этой статье – семь лет лишения свободы. Впрочем, Куликов замечает, что понести уголовную ответственность могут только конкретные физические лица, а не вся компания.
«В качестве юридического лица привлечь разработчика к ответственности не выйдет – необходимы следственные мероприятия, в ходе которых нужно будет установить лицо или группу лиц, ответственных за принятие решения о размещении в открытом доступе вредоносного софта и непосредственно совершивших данное преступление. Сделать это крайне сложно, тем более в данной ситуации идет речь об организации, разрабатывающей софт для спецслужб. Опять же, нельзя исключать вариант, что на деле состав преступления отсутствует, и разработчик сам является жертвой киберпреступников и использует не самую удачную отговорку для того, чтобы скрыть этот факт, способный нанести вред его репутации», – объясняет Куликов.
«С одной стороны, распространение вредоносных программ является уголовно наказуемым деянием согласно ст. 273 УК. С другой – доказать вредоносность криптомайнера не так просто, так как он не предназначен для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, что является основным квалифицирующим признаком в Уголовном кодексе. Но только анализ криптомайнера позволит сделать вывод о его функциях и вредоносной составляющей, что уже может послужить причиной для дальнейшего расследования», – заметил эксперт по безопасности Cisco Алексей Лукацкий.
Как сообщает компания Check Point, во втором полугодии 2017 года каждая пятая компания в мире пострадала от незаконного майнинга. Чаще всего производится скрытый майнинг Monero и Zcash.
