Ex-Angestellte sagen Antivirus-Riesenfake-Malware, um Gegner zu schädigen

Ex-Angestellte sagen Antivirus-Riesenfake-Malware, um Gegner zu schädigen
Diese Geschichte erschien ursprünglich auf Reuters Vor mehr als einem Jahrzehnt versuchte eines der größten Sicherheitsunternehmen der Welt, Kaspersky Lab in Moskau, Rivalen auf dem Markt zu schädigen, indem sie ihre Antivirenprogramme austricksen ( ) Sie sagten, dass die geheime Kampagne Microsoft Corp (MSFT.
Diese Geschichte erschien ursprünglich auf Reuters

Vor mehr als einem Jahrzehnt versuchte eines der größten Sicherheitsunternehmen der Welt, Kaspersky Lab in Moskau, Rivalen auf dem Markt zu schädigen, indem sie ihre Antivirenprogramme austricksen (

) Sie sagten, dass die geheime Kampagne Microsoft Corp (MSFT.O), AVG Technologies NV (AVG.N), Avast Software und andere Rivalen ins Visier genommen hat Sie sollten wichtige Dateien auf den PCs ihrer Kunden löschen oder deaktivieren.

Einige der Angriffe wurden von Kaspersky-Lab-Mitbegründer Eugene Kaspersky angeordnet, um sich gegen kleinere Konkurrenten zu rächen, von denen er annahm, dass sie ihre Software nachbildeten anstatt sie zu entwickeln ow Sie sagten: "Technologie", sagte sie.

"Eugene hielt das für einen Diebstahl", sagte einer der ehemaligen Angestellten. Beide Quellen forderten Anonymität und sagten, sie gehörten zu einer kleinen Gruppe von Leuten, die von der Operation wussten.

Kaspersky Lab stritt entschieden ab, dass es Konkurrenten dazu gebracht hat, saubere Dateien als bösartige, sogenannte falsche Positive einzustufen Das Unternehmen hat noch nie eine geheime Kampagne durchgeführt, um Konkurrenten dazu zu bringen, falsch positive Ergebnisse zu generieren, um ihre Marktposition zu schädigen ", sagte Kaspersky in einer Erklärung gegenüber Reuters. "Solche Aktionen sind unethisch, unehrlich und ihre Rechtmäßigkeit ist zumindest fragwürdig."

Führungskräfte von Microsoft, AVG und Avast sagten vorher gegenüber Reuters, dass unbekannte Parteien in den letzten Jahren versucht hatten, falsch positive Ergebnisse hervorzurufen. Als sie diese Woche kontaktiert wurden, hatten sie keinen Kommentar zu der Behauptung, dass Kaspersky Lab sie ins Visier genommen hatte.

Das russische Unternehmen ist einer der beliebtesten Hersteller von Antivirus-Software mit 400 Millionen Nutzern und 270.000 Firmenkunden. Kaspersky hat in der Branche großen Respekt für seine Forschung über hochentwickelte westliche Spionageprogramme und den Computerwurm Stuxnet erlangt, der das iranische Atomprogramm in den Jahren 2009 und 2010 sabotierte.

Die beiden ehemaligen Mitarbeiter von Kaspersky Lab gaben an, dass der Wunsch, Marktanteile zu gewinnen, ebenfalls berücksichtigt wurde Kasperskys Auswahl von Konkurrenten zur Sabotage.

"Es wurde entschieden, einige Probleme für Rivalen zu schaffen", sagte ein Ex-Angestellter. "Es ist nicht nur schädlich für ein konkurrierendes Unternehmen, sondern auch schädlich für die Computer der Benutzer."

Die ehemaligen Mitarbeiter von Kaspersky sagten, dass Unternehmensforscher für Wochen oder Monate für Sabotageprojekte eingesetzt wurden.

Ihr Chef Die Aufgabe bestand darin, die Virenerkennungssoftware der Mitbewerber zurückzuentwickeln, um herauszufinden, wie man sie dazu bringt, gute Dateien als böswillig zu kennzeichnen, sagten die ehemaligen Mitarbeiter.

Die Gelegenheit für solche Tricks hat in den letzten anderthalb Jahrzehnten zugenommen Englisch: www.germnews.de/archive/dn/1995/02/16.html Die Zahl der Computerprogramme, die schaedlich sind, hat dazu geführt, dass Sicherheitsunternehmen mehr Informationen miteinander teilen, sagten Branchenexperten. Sie lizensierten sich gegenseitig die Virenerkennungs-Engines, tauschten Samples von Malware aus und schickten verdächtige Dateien an Aggregatoren von Drittanbietern wie GOOGL.O VirusTotal von Google Inc.

Durch die gemeinsame Nutzung all dieser Daten konnten Sicherheitsunternehmen schneller neue identifizieren Viren und andere schädliche Inhalte. Die Zusammenarbeit ermöglichte es den Unternehmen jedoch, sich gegenseitig Geld zu leihen, anstatt selbst schlechte Dateien zu finden.

Kaspersky Lab beschwerte sich im Jahr 2010 offen über Nachahmer und forderte mehr Respekt für geistiges Eigentum, da Datenweitergabe häufiger wurde

Um zu beweisen, dass andere Unternehmen ihre Arbeit abreißen, hat Kaspersky ein Experiment durchgeführt: Es hat 10 harmlose Dateien erstellt und VirusTotal mitgeteilt, dass es sie für schädlich hält. VirusTotal aggregiert Informationen über verdächtige Dateien und gibt sie an Sicherheitsfirmen weiter.

Innerhalb von anderthalb Wochen wurden alle 10 Dateien von 14 Sicherheitsunternehmen, die Kaspersky blind gefolgt waren, für gefährlich erklärt, so eine Medienpräsentation von der leitende Kaspersky-Analyst Magnus Kalkuhl in Moskau im Januar 2010.

Als die Beschwerden von Kaspersky zu keinen wesentlichen Änderungen führten, sagten die ehemaligen Mitarbeiter, dass sie die Sabotage verstärkt hätten.

INJIZIEREN DES SCHLECHTEN CODES

Bei einer Technik würden die Ingenieure von Kaspersky eine wichtige Software nehmen, die häufig in PCs zu finden ist Code hinein, so dass die Datei aussah, als wäre sie infiziert, sagten die Ex-Angestellten. Sie würden die manipulierte Datei anonym an VirusTotal senden.

Dann, wenn Konkurrenten diese manipulierte Datei über ihre Virenerkennungs-Engines laufen ließen, würde die Datei als potentiell bösartig markiert werden. Wenn die manipulierte Datei dem Original nahe genug gegenüberstand, konnte Kaspersky rivalisierende Firmen glauben machen, dass die saubere Datei ebenfalls problematisch war.

VirusTotal hatte keinen unmittelbaren Kommentar.

In seiner Antwort auf die schriftlichen Fragen von Reuters verweigerte Kaspersky die Verwendung diese Technik. Es sagte, dass es auch ein Opfer eines solchen Angriffs im November 2012 gewesen sei, als eine "unbekannte dritte Partei" Kaspersky manipulierte, Dateien von Tencent (0700.HK), Mail.ru (MAILRq.L) und der Steam-Spieleplattform als falsch zu klassifizieren böswillig.

Das Ausmaß des Schadens durch solche Angriffe ist schwer einzuschätzen, da Antiviren-Software aus verschiedenen Gründen Fehlalarme auslösen kann, und viele Sicherheitsvorfälle werden von einer kleinen Anzahl von Kunden erfasst, sagten Sicherheitsmanager

Die ehemaligen Mitarbeiter von Kaspersky sagten, Microsoft sei einer der Konkurrenten gewesen, die angegriffen wurden, weil viele kleinere Sicherheitsunternehmen dem in Redmond, Washington, ansässigen Unternehmen bei der Erkennung böswilliger Dateien gefolgt waren. Sie verweigerten einen detaillierten Bericht über einen bestimmten Angriff.

Der Antimalware-Forschungsdirektor von Microsoft, Dennis Batchelder, sagte Reuters im April, er erinnere sich an eine Zeit im März 2013, als viele Kunden anriefen, dass ein Druckercode als gefährlich eingestuft wurde Sein Antivirenprogramm wurde in Quarantäne gestellt.

Batchelder sagte, dass es ungefähr sechs Stunden dauerte, bis er herausfand, dass der Druckercode sehr nach einem anderen Codeausschnitt aussah, den Microsoft zuvor als bösartig eingestuft hatte. Jemand hatte eine legitime Datei genommen und ein Bündel von schlechtem Code hineingestopft, sagte er. Da der normale Druckercode dem geänderten Code sehr ähnlich sah, wurde er auch vom Antivirenprogramm in die Quarantäne verschoben.

Batchelders Team fand in den nächsten paar Monaten Hunderte und schließlich Tausende von guten Dateien, die verändert worden waren, um schlecht auszusehen. Batchelder befahl seinen Mitarbeitern, nicht zu versuchen, den Schuldigen zu identifizieren.

"Es spielt keine Rolle, wer es war", sagte er. "Wir alle in der Branche hatten eine Sicherheitslücke, da unsere Systeme auf Vertrauen beruhten. Das wollten wir beheben."

In einem anschließenden Interview am Mittwoch wollte Batchelder nicht kommentieren, welche Rolle Kaspersky gespielt hat die 2013-Drucker-Code Probleme oder andere Angriffe. Reuters hat keine Beweise, die Kaspersky mit dem Druckercode-Angriff in Verbindung bringen.

Wie sich in der Sicherheitsbranche über die von Microsoft gefundenen falschen Positivmeldungen verbreitete, sagten andere Firmen, sie versuchten herauszufinden, was in ihren eigenen Systemen schief gelaufen ist und was anders zu tun ist , aber niemand identifizierte die Verantwortlichen.

Bei Avast, einem weitgehend kostenlosen Antivirus-Software-Hersteller mit dem größten Marktanteil in vielen europäischen und südamerikanischen Ländern, fanden die Mitarbeiter eine große Auswahl an manipulierten Netzwerktreibern, die für verschiedene Sprachversionen dupliziert wurden

Ondrej Vlcek, Chief Operating Officer von Avast, sagte gegenüber Reuters im April, er vermutete, dass die Täter gut ausgerüstete Malware-Autoren seien und auf Kosten der Branche "Spaß haben" wollten. Er reagierte nicht auf eine Anfrage am Donnerstag für einen Kommentar zu der Behauptung, dass Kaspersky False Positives ausgelöst hatte.

WELLEN VON ANGRIFFEN

Die ehemaligen Angestellten sagten, dass Kaspersky Lab seit mehr als 10 Jahren falsch positive Ergebnisse manipulierte Spitzenzeit zwischen 2009 und 2013.

Es ist nicht klar, ob die Attacken beendet sind, obwohl Sicherheitsmanager sagen, dass falsch positive Ergebnisse heute viel weniger ein Problem sind.

Dies liegt zum Teil daran, dass Sicherheitsunternehmen weniger Akzeptanz angenommen haben die Bestimmungen eines Mitbewerbers als Evangelium und geben mehr aus, um falsche Positive auszusondern.

Yuval Ben-Itzhak, der frühere Chief Technology Officer von AVG, sagte, das Unternehmen leide an schlechten Proben, die nach der Einrichtung spezieller Filter für die Suche nach ihnen und der Verbesserung seiner Erkennungsfunktion stoppten.

"Es gab mehrere Wellen dieser Proben, In der Regel vier Mal pro Jahr. Diese Generation der verkrüppelten Stichprobe dauerte etwa vier Jahre. Die letzte Welle wurde Anfang des Jahres 2013 empfangen ", sagte er gegenüber Reuters im April.

Todd Simpson, Chief Strategy Officer von AVG, lehnte ab Kommentar am Mittwoch.

Kaspersky sagte, dass es auch seine Algorithmen verbessert hat, um gegen falsche Virusproben zu verteidigen. Es fügte hinzu, dass es glaubte, dass kein Antiviren-Unternehmen die Angriffe ausführte, "da es sich sehr negativ auf die gesamte Branche auswirken würde."

"Obwohl der Sicherheitsmarkt sehr wettbewerbsintensiv ist, ist ein vertrauenswürdiger Bedrohungsdatenaustausch definitiv Teil der Gesamtsicherheit des gesamten IT-Ökosystems, und dieser Austausch darf nicht kompromittiert oder beschädigt werden ", sagte Kaspersky.