Patrick Wardle, Giám đốc nghiên cứu của Digita Secutiry và là cựu hacker của NSA, đã chứng minh điều đó, bằng cách đánh sập phần mềm diệt virus Kaspersky Lab và biến nó thành một công cụ tìm kiếm lợi hại với những tài liệu mật.
"Trong cuộc chiến chống mã độc, các sản phẩm diệt virus đóng vai trò quan trọng", Patrick Wardle nói. "Nhưng thật mỉa mai, những sản phẩm này lại có nhiều đặc tính chung với các kế hoạch gián điệp mà nó đang tìm kiếm".
"Tôi muốn xem liệu có thể tấn công hay không", Wardle nói. "Tôi không muốn bị khép vào các cáo buộc phức tạp. Nhưng từ góc nhìn kỹ thuật, nếu một nhà sản xuất phần mềm diệt virus muốn, hay bị ép, hay bị tấn công hay bị lật đổ bằng một cách nào đó, liệu có thể tạo ra một ký hiệu để đánh dấu các tài liệu phân cấp?"
Hồi tháng 12 năm ngoái, Tổng thống Mỹ Donald Trump đã ký dự luật cấm sử dụng các sản phẩm và dịch vụ của Kaspersky Lab trong toàn bộ các cơ quan liên bang.
Theo một dự thảo báo cáo mật mà Edward J. Snowden rò rỉ, ít nhất từ năm 2008 NSA đã nhắm tới phền mềm diệt virus (như Checkpoint và Avast) để thu thập những thông tin nhạy cảm lưu trữ trong các cỗ máy mục tiêu.
Wardle đã thực hiện cú đảo ngược với phần mềm diệt virus Kaspersky Lab để khai thác khả năng lợi dụng phần mềm trong các mục đích tình báo. Mục tiêu của chuyên gia bảo mật này là tạo ra một ký hiệu có thể dò ra những tài liệu phân cấp. Và Wardle đã phát hiện ra những kết cấu mã phức tạp khó tin, không giống như phần mềm diệt virus truyền thống, các ký hiệu mã độc của Kaspersky rất dễ cập nhật. Tính năng này có thể bị tận dụng để tự động scan máy nạn nhân và lấy cắp các tài liệu phân cấp. "Các sản phẩm diệt virus hiện đại là những mẩu phần mềm phức tạp khó tin, và Kaspersky có thể là một trong những phần mềm phức tạp nhất".
Wardle chỉ ra rằng các quan chức thường phân loại tài liệu mật bằng cách đánh dấu "TS/SCI" (Top Secret/Sensitive Compartmented Information), vì thế ông đã bổ sung một quy tắc trog chương trình diệt virus của Kaspersky để đánh dấu mọi tài liệu có chứa ký hiệu "TS/SCI".
Để thử nghiệm quy tắc mới này, nhà nghiên cứu đã chỉnh sửa một tài liệu trên máy tính về series sách trẻ em Winnie the Pooh và thêm dấu "TS/SCI". Ngay khi tài liệu Winnie the Pooh được lưu vào máy, phần mềm diệt virus Kaspersky đã đánh dấu và cách ly tài liệu.
Bước tiếp theo trong thử nghiệm của Wardle là phát hiện ra cách các tài liệu đánh dấu được kiểm soát, nhưng thông thường phần mềm diệt virus sẽ gửi dữ liệu trở lại công ty để phân tích thêm.
Kaspersky Lab giải thích rằng, nghiên cứu của Wardle là không đúng vì công ty không thể đưa ra một ký hiệu đặc biệt hay cập nhật cho duy nhất một người dùng theo cách dấu giếm, vụng trộm như vậy.
"Phần mềm Kaspersky Lab không thể đưa ra một ký hiệu đặc biệt hoặc cập nhật cho chỉ 1 người dùng một cách bí mật, vì tất cả ký hiệu luôn có sẵn với tất cả người dùng; và các cập nhật được tiến hành kỹ thuật số, nên không thể làm giả cập nhật", Kaspersky nói trong một thông cáo.
Theo trang Securityaffairs, nghiên cứu của Wardle cho thấy việc hack các nền tảng của các hãng phần mềm diệt virus như Kaspersky là có thể, để lợi dụng phần mềm như một công cụ nghiên cứu. Đôi khi, ranh giới giữa cái tốt và cái xấu, thiên thần và ác quỷ, đôi khi chỉ là một ký hiệu….