Wikileaks + ЦРУ

МОСКВА, 9 ноября. /ТАСС/. Центральное разведывательное управление (ЦРУ) США создало вредоносную программу Hive ("Улей"), предназначенную для скачивания данных с зараженных компьютеров, код которой с целью маскировки имитирует код антивирусных программ компании "Лаборатория Касперского". Об этом сообщила в четверг на своем сайте организация WikiLeaks.

В процессе генерирования сертификатов аутентификации вирус маскируется под программы реально существующих разработчиков, отмечает WikiLeaks. В программном коде Hive содержатся три элемента, предназначенные для имитирования сертификата антивируса.

WikiLeaks поясняет, что какая-либо организация, подвергающаяся атаке со стороны ЦРУ, при просмотре трафика, исходящего из системы, вероятнее всего, придет к выводу, что похищение данных осуществляется при помощи программы, под которую маскируется вирус.

Появившаяся публикация служит продолжением серии документов Vault 8, обнародование которых WikiLeaks начала в марте. В рамках проекта организация опубликовала почти 10 тыс. документов и файлов, хранившихся в изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли (штат Виргиния).

В ответ на запрос ТАСС прокомментировать публикацию WikiLeaks в "Лаборатории Касперского" заявили: "Мы пока изучаем отчет Vault 8 и предоставим более подробную информацию, как только она появится".

Начиная с марта 2017 года, в конце каждой недели, Wikileaks обнародует новую часть огромного архива секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, который ранее «утек» у спецслужб и оказался в распоряжении ресурса. Публикации выходят под грифом Vault 7 и рассказывают о самых разных инструментах и техниках.

Публикация этой недели носит название ExpressLane и рассказывает об инструменте, который помогает ЦРУ присматривать за ведомствам-партнерам, в число которых, в числе прочих, входят ФБР, АНБ и Министерство внутренней безопасности.

Согласно опубликованным бумагам (PDF), сотрудники научно-технического управления ЦРУ, совместно со специалистами компании CrossMatch разработали своеобразный бэкдор для системы сбора и хранения биометрических данных, доступ к которой предоставляется партнерским ведомствам. Эта система действительно работает, но имеет один интересный нюанс.

Так как ЦРУ хотелось бы, чтобы коллеги делились с ними всеми собранными данным, но на добровольное сотрудничество надежды, по всей видимости, нет, был создан ExpressLane. Дело в том, что биометрическая система имеет встроенный таймер, которому можно задать определенный период времени. По истечении этого срока система начинает требовать обновление и может вовсе перестать работать. Установить такой «апдейт» может только специалист ЦРУ, который должен лично посетить ведомство.

Gyrfalcon нацелен на сбор параметров аутентификации (логин/пароль, закрытые SSH-ключи и пароли к SSH-ключам) у клиентов OpenSSH, а также поддерживает режим полного или выборочного сохранения содержимого SSH-сеансов и может выполнить подстановку команд в сеансы. Вся накопленная информация шифруется и сохраняется в файл для последующей отправки на внешний сервер, подконтрольный ЦРУ.

Передача собранных данных осуществляется при помощи других средств - Gyrfalcon обеспечивает только накопление данных. Варианты Gyrfalcon подготовлены для различных дистрибутивов Linux, включая RHEL, CentOS, Debian, openSUSE и Ubuntu. Имплант устанавливается в систему после получения привилегированного доступа, например после атаки с использованием неисправленных уязвимостей или через вход под перехваченной учётной записью.

Описывается два варианта импланта:

Gyrfalcon1 запускается в виде фонового процесса, который работает с правами root и использует ptrace для получения контроля за процессами штатного системного SSH-клиента. После активации Gyrfalcon отслеживает запуск новых процессов и в случае обнаружения SSH-клиента подключается к нему при помощи ptrace. Работа выполняется в пассивном режиме. Дополнительно поставляется Python-скрипт для настройки работы и определения правил перехвата трафика.

Gyrfalcon2 оформлен в виде разделяемой библиотеки, которая устанавливается в систему вместо штатной библиотеки libgssapi.so или загружается через LD_PRELOAD в адресное пространство клиента OpenSSH и перехватывает некоторые обработчики. В состав также входит приложение, которое взаимодействует с библиотекой и получает от неё перехватываемые сведения. Имплант рассчитан на поставку вместе с руткитом JQC/KitV, который обеспечивает его скрытие и активацию.

Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell. Бэкдор устанавливается в систему под видом расширения Shellterm 3.x и действует только для SSH-сеансов, осуществляемых через эмулятор терминала Xshell.

Поюзать (или скачать себе) PDF доки можно по следующим ссылкам:

BothanSpy 1.0

Gyrfalcon 1.0 User Manual

Gyrfalcon  2.0 User Guide

Wikileaks продолжает публикацию архива секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, которые были переданы в распоряжение ресурса неизвестным информатором весной 2017 года. Публикации выходят под кодовым названием Vault 7 и рассказывают о самых разных инструментах и техниках.

На этой неделе Wikileaks обнародовала бумаги, касающиеся работы различных утилит, входящих в инструментарий Brutal Kangaroo (ранее носил имя EZCheese), при помощи которого ЦРУ проникает в изолированные от сети и оффлайновые компьютеры. Конечно, никакой магии и экзотики здесь нет (решения ЦРУ не чета методам, которые разрабатывают специалисты из университета имени Бен-Гуриона), и агентам предлагают использовать для заражения вредоносные USB-накопители.

В состав Brutal Kangaroo, созданного еще в 2012 году, входят следующие инструменты:

Drifting Deadline — основная часть Brutal Kangaroo инструмент, содержащая GUI-билдер для создания нужной малвари;

Shattered Assurance – серверный компонент, работающий на зараженном хосте и автоматически заражающий портативные накопители с помощью Drifting Deadline;

Shadow – инструмент, позволяющий объединить ряд зараженных оффлайновых компьютеров в единую сеть для выполнения каких-либо задач;

Broken Promise – инструмент для оценки и извлечения данных, собранных с изолированных машин.

Согласно бумагам, компоненты Brutal Kangaroo используются для реализации многоступенчатых, сложных атак, которые начинаются с того, что сотрудник спецслужб использует Drifting Deadline и создает малварь для первой и второй стадии атаки.

Затем нужно заразить компьютер в целевой сети, однако документы не описывают данный процесс, то есть к каким методам для этого прибегают оперативники ЦРУ, неизвестно. После этого первая зараженная машина станет «основным хостом» и будет использоваться для дальнейшего распространения инфекции. Каждый раз, когда пользователи будут подключать к этому компьютеру USB-накопитель, Brutal Kangaroo будет заражать его малварью, отличной от той, что заразила основной хост, и созданной специально для USB. Ставшие вредоносными USB-накопители после этого будут заражать все компьютеры, к которым подключаются.

Вторая фаза атаки полагается на вредоносные файлы LNK, то есть ярлыки Windows. Файлы LNK будут вызывать автоматическое выполнение вредоносного пейлоада каждый раз, когда будут открыты в Windows Explorer. Аналогичный вектор атак использовала нашумевшая малварь Stuxnet, от которой серьезно пострадала ядерная программа Ирана.

Для данных атак используются эксплоиты Giraffe и Okabi, поддерживающие 32- и 64-разрядные архитектуры. Okabi более эффективен против машин, работающих под управлением Windows 7, 8, и 8.1, тогда как Giraffe работает только против Windows XP.

Согласно опубликованным бумагам, ранее инструментарий назывался EZCheese и Emotional Simian, и эксплуатировал 0-day уязвимость, которая была исправлена в марте 2015 года. Однако переход на эксплуатацию новых багов также оказался не слишком успешным. Так, в инструкции к Drifting Deadline сообщается, что начиная с 23 февраля 2016 года некоторые антивирусные продукты обнаруживают малварь Brutal Kangaroo (в бумагах перечислены Avira, Bitdefender, Rising Antivirus и Symantec).

Более того, с 2016 года разработки Microsoft представили целый ряд патчей для исправления уязвимостей LNK-файлов, включая патч, вышедший в этом месяце. Напомню, что ранее в этом году представители Wikileaks обещали делиться с производителями эксклюзивной информацией о инструментах ЦРУ, входящих в дамп Vault 7. Вероятно, выход свежего патча Microsoft напрямую связан с публикацией бумаг о Brutal Kangaroo.