Achilles

Продукт
Разработчики: Центральное разведывательное управление (ЦРУ)

2017: WikiLeaks опубликовал документацию

В конце июля 2017 года портал WikiLeaks опубликовали новую порцию документов к кибершпионским инструментам ЦРУ. На этот раз речь идет о руководстве для программ под кодовыми названиями Achilles, Aeris и SeaPea. [1]

Achilles представляет собой утилиту для "троянизации" файлов инсталляции приложений под macOS — DMG. [2]

WikiLeaks обнародовал документацию к шпионским программам ЦРУ для macOS и Linux

Согласно приведенному описанию, эта утилита позволяет "привязать" произвольный исполняемый файл к инсталлятору DMG для одноразового запуска. 

Если владелец атакуемой машины запускает такой файл DMG, то устанавливаются и оригинальное приложение, и добавленный вредоносный компонент, после чего вредоносное дополнение из DMG-файла удаляется, чтобы его невозможно было проанализировать. Это довольно типично для кибершпионских операций.Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация 5.6 т

Второй вредоносный инструмент — Aeris — представляет собой имплант для операционных систем стандарта POSIX. [3]

Согласно приведенной документации, Aeris написан на C и работает под следующими операционными системами: 

Задачей Aeris, судя по его функциональности, является сбор и вывод данных через шифрованные TLS-каналы. 

Каким именно образом собираются данные, в документе не поясняется. Это может означать, что Aeris является лишь одним звеном целой цепочки вредоносного ПО, используемой для компрометации систем, идентификации нужных данных и их вывода. 

SeaPea, в свою очередь, представляет руткит для OS X, функционирующий на уровне ядра и обеспечивающий свое устойчивое присутствие в системе между перезагрузками. SeaPea также способен скрывать файлы и папки, запускать некоторые процессы и инициировать socket-соединения. [4]

Мануал к SeaPea уже выпускался ранее вместе с описанием других инструментов для заражения MacOS X и iOS. Сам документ относится к 2011 году, то есть уже довольно стар. SeaPea протестирован на двух давно устаревших версиях Mac OS X – 10.6 и 10.7. Актуальный индекс системы — 10.12. Работает ли на нем SeaPea, и существуют ли более новые версии – неизвестно.

«
MacOS X и Linux пользуются репутацией более защищенных систем, нежели Windows. Однако, как видим, шпионские инструменты существуют и для них. Любое ПО оказывается уязвимым перед серьезными профессионалами, — говорит Георгий Лагода, генеральный директор компании SEC Consult Services. — Другое дело, что операционные системы эволюционируют, и со временем старые инструменты оказываются частично или полностью неэффективными. Не исключено, что «слитый» инструментарий просто перестал отвечать потребностям его операторов.
»

WikiLeaks публикует документацию к кибершпионским инструментам ЦРУ в рамках своей кампании Vault 7. Документация предположительно была похищена хакерами и инсайдерами, хотя об этом известно лишь со слов администраторов ресурса.

В то время как на Wikileaks выкладываются лишь документы, описывающие вредоносное ПО ЦРУ, группировка Shadow Brokers время от времени публикует инструменты, предположительно использовавшиеся Агентством национальной безопасности США. Как и в случае с WikiLeaks, остается неизвестным каким образом эти инструменты попали в распоряжение Shadow Brokers. Факт, однако, что эти инструменты в большой степени по-прежнему вполне работоспособны.

Примечания