Apple відмовилася виплачувати винагороду за помилки російській компанії з кібербезпеки «Лабораторія Касперського» після того, як вона розкрила чотири вразливості нульового дня в програмному забезпеченні iPhone, які нібито використовувалися для шпигунства за співробітниками Касперського, а також за російськими дипломатами.
Представник «Лабораторії Касперського» повідомив Recorded Future News, що дослідницька група компанії вважає, що їхня робота «придатна для отримання винагороди за помилки від Apple». Однак, коли запитали про це, ми отримали відмову від команди безпеки Apple, посилаючись на спеціальну політику».
Apple не надала коментарів, коли Recorded Future News зв’язалася з цим.
Винагороди за помилки – це звичайний спосіб для компаній заохотити дослідників розкривати їм уразливості, а не монетизувати їх, продаючи їх зловмисникам, які можуть ними скористатися.
Касперський публічно оприлюднив передбачувану дуже складну шпигунську кампанію минулого року, а виконавчий директор компанії та тезка Євген Касперський описав її як «надзвичайно складну, професійно спрямовану кібератаку», яка вразила «кілька десятків iPhone співробітників компанії — як вищого, так і середнього менеджменту». »
Операція «Тріангуляція», як була назва шпигунської кампанії, була «безперечно найскладнішим ланцюжком атак, який ми коли-небудь бачили», — заявили дослідники Касперського, пояснюючи її, включаючи 13 окремих пунктів.
Через витонченість того, як використовувалися вразливості, і обмежену цільову спрямованість зловмисників — шукаючи розвідувальні матеріали, а не фінансові деталі — підозрювали, що це фінансується державою.
У той же день, коли було розкрито Касперського, Федеральна служба безпеки Росії (ФСБ) звинуватила Сполучені Штати та Apple у співпраці, щоб дозволити США шпигувати за російськими дипломатами.
ФСБ надала небагато публічних подробиць щодо передбачуваної операції проти дипломатів, але російське агентство комп’ютерної безпеки окремо стверджувало, що показники компрометації обох кампаній були однаковими.
Ключовою проблемою, яка потенційно вказувала на співпрацю, була вразливість, відстежувана як CVE-2023-38606. За словами Касперського, це вплинуло на особливо незвичну апаратну функцію, яка насправді не використовувалася жодною прошивкою iOS. Таким чином, дослідники припустили, що він міг бути призначений для налагодження чи тестування або був включений в операційну систему iPhone помилково.
«Ми не знаємо, як зловмисники навчилися використовувати цю невідому апаратну функцію або яка була її початкова мета. Ми також не знаємо, чи був він розроблений Apple, чи це компонент третьої сторони», – заявив Касперський.
У той час представник Apple заперечував звинувачення у змові з державою, щоб дозволити будь-яке шпигунство за своїми клієнтами, заявивши: «Ми ніколи не працювали з жодним урядом, щоб вставити бекдор в будь-який продукт Apple, і ніколи не будемо це робити».
Раз вкусив, два рази соромиться
Звинувачення в тому, що Apple відмовилася виплатити Касперському винагороду за багів, з’явилося на тлі періоду загострення антагонізму між Сполученими Штатами та Російською Федерацією після повномасштабного вторгнення Москви в Україну.
У березневій заяві Apple заявила: «Ми глибоко стурбовані російським вторгненням в Україну та підтримуємо всіх людей, які страждають внаслідок насильства».
Компанія, яка є американською транснаціональною компанією, оголосила, що в результаті вторгнення вона призупиняє всі продажі своїх продуктів у Росії та видаляє додатки контрольованих державою ЗМІ зі свого App Store, а також обмежує доступ до таких сервісів, як Apple Pay для наявних клієнтів.
Незважаючи на те, що Kaspersky не підлягає особливим санкціям у Сполучених Штатах у зв’язку з конфліктом в Україні, Міністерство національної безпеки раніше заборонило використання його продуктів урядом з міркувань безпеки через рівень контролю, який вимагає антивірусне програмне забезпечення на комп’ютері, і ризики додається до цього контролю для компанії, що базується в Росії.
Касперського також звинуватили в тому, що він дозволив ФСБ використовувати своє антивірусне програмне забезпечення для сканування комп’ютерів на наявність розвідувальних матеріалів, хоча жодних публічних доказів цього не було надано, і Касперський заперечує претензії, заявляючи, що якщо його команда коли-небудь виявить секретні матеріали, то вона наказано негайно видалити.
Розмовляючи з російськомовним медіа-агентством RTVI, дослідницький керівник Kaspersky Дмитро Галов сказав, що зазвичай компанії з кібербезпеки, такі як Kaspersky, призначають благодійну організацію для отримання коштів від програми Apple Bug Bounty замість того, щоб збирати дохід самостійно.
Він додав, що, незважаючи на те, що Касперський був упевнений, що зловмисника фінансує держава, він і його дослідницька група не мали технічних даних, необхідних для визначення того, яка держава могла стояти за атакою.
Представник Kaspersky не відповів на те, чи призначив він благодійну організацію під час першого контакту з Apple, а також на те, чи вплине відмова компанії надати винагороду за її рішення розкрити вразливості, виявлені в майбутньому.
Про Лабораторію Касперського
«Лабораторія Касперського» — це російська багатонаціональна компанія, що займається кібербезпекою та антивірусними програмами, штаб-квартира якої знаходиться в Москві, Росія, і управляється холдинговою компанією у Сполученому Королівстві. Заснована в 1997 році Євгеном Касперським, Наталією Касперською та Олексієм Де-Мондеріком, «Лабораторія Касперського» розробляє та продає антивірусні засоби, засоби безпеки в Інтернеті, керування паролями, захист кінцевих точок та інші продукти та послуги кібербезпеки.
Ключові факти:
• Тип компанії: Приватна
• Галузь: комп’ютерне програмне забезпечення
• Заснована: Москва, Росія (1997)
• Засновники: Євген Касперський, Наталя Касперська, Олексій Де-Мондерік
• Штаб-квартира: Москва, Росія (з регіональними підрозділами в Дубаї, ОАЕ; Стамбулі, Туреччина; Лондоні, Сполучене Королівство; Мехіко, Мексика; Мідранді, Південна Африка; Сан-Паулу, Бразилія; Сінгапурі; і Воберні, Массачусетс, США)
• Територія обслуговування: у всьому світі
• Ключові люди: Євген Касперський (генеральний директор)
• Продукти: програмне забезпечення для кібербезпеки
• Послуги: Комп’ютерна безпека
• Дохід: $704 млн (2020)
• Кількість співробітників: 4000+ (2020)
Apple відмовилася виплачувати винагороду за помилки російській фірмі з кібербезпеки «Лабораторія Касперського».
