Корпоративная сеть Microsoft взломана. Мнение

Как стало известно в пятницу, корпоративная сеть компании Microsoft, крупнейшего в мире разработчика программного обеспечения, подверглась нападению компьютерных хакеров, использовавших для этого сетевого червя QAZ. Вследствие этого, неизвестным лицам удалось получить доступ к месту, где хранились исходные коды продуктов Microsoft и, возможно, незаконно скопировать их.

«Лаборатория Касперского» полагает, что на данный момент нет оснований считать, что взлом был осуществлен именно российскими хакерами, находящимися в Санкт-Петербурге. Подозрение вызвал тот факт, что информация из корпоративной сети Microsoft пересылалась на адрес электронной почты в северной столице России. Однако, хорошо известно, что местонахождение почтового ящика не всегда говорит о местонахождении его владельца. Адрес электронной почты в Санкт-Петербурге мог получить человек из любой другой точки мира для того, чтобы запутать официальное расследование. Куда на самом деле тянутся корни совершенного преступления — еще предстоит выяснить.

Не меньше вопросов вызывает и факт, что взлом был осуществлен при помощи сетевого червя QAZ. Данный червь был обнаружен в июле этого года и тогда же был успешно добавлен в антивирусные базы «Антивируса Касперского» и большинства наиболее популярных западных антивирусов. Сразу же возникает вопрос, как в такой серьезной организации, как Microsoft, мог завестись всем известный червь? Как известно, антивирусная защита в больших организациях находится под полным контролем сетевых администраторов. Таким образом, исключается вероятность того, что антивирус на какой-либо из рабочих станций сети либо не был установлен, либо долгое время не обновлялся. Скорее, кто-то из пользователей нарочно или нечаянно отключил антивирусную защиту, что позволило червю пробраться внутрь сети.

Интересен и другой момент. Даже если червю удалось каким-либо способом проникнуть в сеть Microsoft, то при всех равных условиях получить доступ к зараженному компьютеру снаружи было бы невозможно. Этого не допустил бы межсетевой экран (firewall), который блокирует отправку данных по списку запрещенных портов, в т.ч. порту, используемому Backdoor-компонентой червя. Иными словами, хакеры просто не смогли бы управлять вредоносной программой. Отсюда следует, что при помощи данного червя (даже если бы злоумышленнику стали известны пароли доступа) украсть что-либо, в т.ч. исходные коды продуктов, из сети Microsoft было бы невозможно.

У нас нет оснований ставить под сомнение компетентность сетевых администраторов Microsoft, которые могли бы случайно упустить из вида порт, который может использоваться вредоносными программами.
Описанные выше обстоятельства делают наиболее вероятным следующий сценарий развития событий, когда взлом был осуществлен при помощи или непосредственно некой персоной из структуры Microsoft.

Несмотря на произошедший инцидент, «Лаборатория Касперского» склонна не соглашаться с критикой, обрушевшейся на Microsoft, в связи с, якобы, имеющим место быть низким уровнем компьютерной защиты сети компании. Не стоит забывать, что эта компания имеет одну из самых больших в мире компьютерных сетей. Тот факт, что это, по сути дела, первый серьезный случай ее взлома за многие годы, говорить только в пользу компьютерных служб компании.
Кроме того, пока что нет доказательств, что взлом был совершен извне, а не изнутри. Так что, возможно, произошедший инцидент является проблемой не столько службы компьютерной безопасности Microsoft, сколько ее службы безопасности вообще.

Техническое описание сетевого червя QAZ.