Автор блога о кибербезопасности KrebsOnSecurity Брайан Кребс написал о неожиданной схеме работы сайта ФСБ, который предлагает всем желающим передать спецслужбе «значимую информацию» установить подозрительное приложение, которое разработчики антивирусного ПО помечают как вредоносное.

Кребс ссылается на пост хакера Владислава Хорохорина (BadB), который отсидел семь лет в США по делу о мошенничестве с крадеными данными кредитных карт, а теперь занимается консалтингом в сфере IT-безопасности. Тот заметил, что для установки защищенного соединения с сайтом ФСБ для передачи «значимой информации» пользователю требуется скачать специальное приложение, доступное только для компьютеров на ОС Windows, которое использует российское шифрование по ГОСТ 28147-89.

Приложение генерирует случайное число, не используя системные алгоритмы компьютера, после чего устанавливает соединение с сайтом ФСБ, похожее на VPN-туннель. Только после этого пользователю показывают форму для отправки сообщения спецслужбе.

Специалист по кибербезопасности Лэнс Джеймс по просьбе Кребса описал технологию работы формы на сайте так: каждый запрос на скачивание генерирует новый файл с уникальной версией программы. «Это ужасный подход, но вот так оно сделано», — прокомментировал он.

Джеймс не считает, что в программе с сайта ФСБ содержится опасный код, однако есть некоторые признаки, по которым антивирусные приложения видят в ней угрозу: так, приложение подчищает логи на компьютере пользователя, чем обычно занимаются вредоносные программы, и по сути выступает оболочкой для загрузки кода, что аналогично проведению вирусов.

Также он написал небольшую программу с использованием шифрования по ГОСТу, и ее также сочли подозрительной антивирусные алгоритмы — возможно, в силу невысокой распространенности такого шифрования.