Во внутреннюю сеть Microsoft проникли хакеры

Грэм Клюли: «Атака при помощи червя, подобного QAZ, не была возможной, если межсетевой экран и антивирусная защита были сконфигурированы корректно»

Предполагается, что атака была осуществлена путем засылки в Microsoft «червя», разновидности вируса QAZ, который, маскируясь под программу notepad.exe, способен распространяться по локальной сети и отправлять хозяину обнаруживаемые на машинах пользовательские имена и пароли. Очевидно, один из сотрудников Microsoft получил по электронной почте зараженное письмо и запустил прикрепленный файл. По сообщениям, вирус отправлял пароли на электронный адрес в Санкт-Петербурге. Впрочем, как отмечают специалисты, отсылка паролей на российский адрес могла быть всего лишь маскировкой.

Получив пароли, хакеры подключились к внутренней сети Microsoft под видом служащих компании, работающих удаленно.

В официальном заявлении Microsoft говорится, что масштаб инцидента преувеличивается аналитиками и прессой.

«Проведенное расследование не подтвердило фактов, свидетельствующих о том, что нарушитель добрался до исходных текстов наших основных продуктов — Windows Me, Windows 2000 или Office. Хотя хакер, по-видимому, имел возможность просмотреть фрагменты исходных текстов, признаков модификации или порчи какого-либо кода не обнаружено. Мы убеждены, что интеллектуальная собственность Microsoft не пострадала. У нас нет причин считать, что атака нанесла ущерб кому-то из наших клиентов. Мы привлекли компетентные органы к расследованию данного прискорбного факта промышленного шпионажа. Попытки несанкционированного доступа к сети Microsoft, как и к сетям большинства крупных корпораций и правительственных агентств всего мира, предпринимаются регулярно. Мы боремся с этим, интенсивно работаем над обеспечением защиты нашей внутренней сети», — говорится в официальном заявлении.

Руководство компании убеждено, что ни один исходный текст не был «изменен или перемещен» хакерами. Кроме того, если сначала Microsoft заявляла, что атака была обнаружена спустя три месяца после взлома, то, согласно последним сообщениям из компании, первичное проникновение произошло в конце сентября.

Стоит отметить, что сведения о способе проникновения в сеть весьма противоречивы.

«Microsoft явно что-то недоговаривает, — говорит Грэм Клюли, специалист по защите информации английской антивирусной компании Sophos. — Атака при помощи «червя», подобного QAZ, не былабы возможной, если бы межсетевой экран и антивирусная защита были сконфигурированы корректно».

По словам Клюли, QAZ, известный также под названиями Troj.QAZ, Worm.QAZ и QAZ.Trojan, занимает пятое место по частоте упоминания пользователями, обращавшимися в службу помощи Sophos. Вирус, впервые обнаруженный в Китае, циркулирует уже около пяти месяцев. В списке десяти наиболее распространенных вирусов, составленном производителем антивирусного программного обеспечения Trend Micro, QAZ занимает девятое место.

Более того, Sophos, Trend Micro и финская F-Secure уже выпустили обновления своих антивирусов, содержащие код распознавания QAZ. На сайтах названных компаний помещены инструкции для пользователей по защите от вируса. Как сказал Клюли, «не нужно быть гением, чтобы запустить «червя», подобного QAZ». Однако Айра Уинклер, аналитик Internet Security Advisors Group, считает, что атака на сеть Microsoft была чрезвычайно сложной и скорее всего применялись также другие средства: «Хакерам наверняка пришлось проделать большую работу, если им удалось так хорошо законспирироваться».

«Не важно, каким образом была осуществлена атака, — говорит Джеффри Тартар, редактор бюллетеня Softletter. — Любая сеть имеет уязвимые места. Однако сам факт того, что кто-то смог проникнуть в сеть одного из крупнейших производителей ПО и получить доступ к самому ценному — исходным текстам, — это большой удар по репутации компании и свидетельство несерьезного отношения к защите информации».

Несмотря на утверждения Microsoft об отсутствии следов манипуляции с исходными текстами, специалисты по защите информации предполагают, что код, к которому хакеры получили доступ, все же мог быть скопирован и выслан за пределы кампуса в Редмонде. Если расследование ФБР подтвердит это, то репутация Microsoft будет серьезно подпорчена. Однако специалисты считают маловероятной возможность использования похищенных исходных текстов в обход Microsoft.

По словам представителя F-Secure Микко Хиппонена, «компетентные источники» подтверждают, что исходные тексты не только «просматривались» нарушителями, но и были похищены ими.

Противоречивые заявления Microsoft породили массу пересудов о том, код каких именно программных продуктов был украден. В числе возможных жертв называют сверхсекретную игровую консоль Microsoft X-Box.

По мнению экспертов, если подозрения насчет изменения исходных текстов подтвердятся, то компании придется тщательно сверять код. На подобную проверку может уйти несколько месяцев.

«Если хакеры что-то сделали с файлами, то Microsoft будет на кого сваливать ошибки в программных продуктах. Этим козырем она сможет пользоваться в течение двух-трех лет», — заметил Тартар.

Майк Раш, бывший глава комитета министерства юстиции США по расследованию компьютерных преступлений, а ныне вице-президент компании Global Integrity, говорит, что истинные масштабы ущерба скорее всего еще даже не определены.

«Что можно сделать с похищенными исходными текстами? Не очень многое, — говорит Джордж Смит, редактор Crypt Newsletter и специалист в области компьютерной безопасности. — Пираты в России и Китае получили бы куда большую выгоду от кражи двоичного кода. Что касается промышленного шпионажа, то, я думаю, подобная акция была бы слишком рискованной для любой компании-заказчика. Ведь конкуренты рано или поздно получат информацию о важнейших API-интерфейсах, скрытых в коде Microsoft. Что с того, если даже код был скопирован? Программы Microsoft внимательно изучаются аналитиками и разработчиками, которые публикуют информацию о секретах и «дырах» сразу же после их обнаружения».

Поделитесь материалом с коллегами и друзьями