Разработчики: | Центральное разведывательное управление (ЦРУ) |
2017: WikiLeaks опубликовал документацию
В конце июля 2017 года портал WikiLeaks опубликовали новую порцию документов к кибершпионским инструментам ЦРУ. На этот раз речь идет о руководстве для программ под кодовыми названиями Achilles, Aeris и SeaPea. [1]
Achilles представляет собой утилиту для "троянизации" файлов инсталляции приложений под macOS — DMG. [2]
Согласно приведенному описанию, эта утилита позволяет "привязать" произвольный исполняемый файл к инсталлятору DMG для одноразового запуска.
Если владелец атакуемой машины запускает такой файл DMG, то устанавливаются и оригинальное приложение, и добавленный вредоносный компонент, после чего вредоносное дополнение из DMG-файла удаляется, чтобы его невозможно было проанализировать. Это довольно типично для кибершпионских операций.Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
Второй вредоносный инструмент — Aeris — представляет собой имплант для операционных систем стандарта POSIX. [3]
Согласно приведенной документации, Aeris написан на C и работает под следующими операционными системами:
- Debian Linux 7 (i386)
- Debian Linux 7 (amd64)
- Debian Linux 7 (ARM)
- Red Hat Enterprise Linux 6 (i386)
- Red Hat Enterprise Linux 6 (amd64)
- Solaris 11 (i386)
- Solaris 11 (SPARC)
- FreeBSD 8 (i386)
- FreeBSD 8 (amd64)
- CentOS 5.3 (i386)
- CentOS 5.7 (i386)
Задачей Aeris, судя по его функциональности, является сбор и вывод данных через шифрованные TLS-каналы.
Каким именно образом собираются данные, в документе не поясняется. Это может означать, что Aeris является лишь одним звеном целой цепочки вредоносного ПО, используемой для компрометации систем, идентификации нужных данных и их вывода.
SeaPea, в свою очередь, представляет руткит для OS X, функционирующий на уровне ядра и обеспечивающий свое устойчивое присутствие в системе между перезагрузками. SeaPea также способен скрывать файлы и папки, запускать некоторые процессы и инициировать socket-соединения. [4]
Мануал к SeaPea уже выпускался ранее вместе с описанием других инструментов для заражения MacOS X и iOS. Сам документ относится к 2011 году, то есть уже довольно стар. SeaPea протестирован на двух давно устаревших версиях Mac OS X – 10.6 и 10.7. Актуальный индекс системы — 10.12. Работает ли на нем SeaPea, и существуют ли более новые версии – неизвестно.
MacOS X и Linux пользуются репутацией более защищенных систем, нежели Windows. Однако, как видим, шпионские инструменты существуют и для них. Любое ПО оказывается уязвимым перед серьезными профессионалами, — говорит Георгий Лагода, генеральный директор компании SEC Consult Services. — Другое дело, что операционные системы эволюционируют, и со временем старые инструменты оказываются частично или полностью неэффективными. Не исключено, что «слитый» инструментарий просто перестал отвечать потребностям его операторов. |
WikiLeaks публикует документацию к кибершпионским инструментам ЦРУ в рамках своей кампании Vault 7. Документация предположительно была похищена хакерами и инсайдерами, хотя об этом известно лишь со слов администраторов ресурса.
В то время как на Wikileaks выкладываются лишь документы, описывающие вредоносное ПО ЦРУ, группировка Shadow Brokers время от времени публикует инструменты, предположительно использовавшиеся Агентством национальной безопасности США. Как и в случае с WikiLeaks, остается неизвестным каким образом эти инструменты попали в распоряжение Shadow Brokers. Факт, однако, что эти инструменты в большой степени по-прежнему вполне работоспособны.