Angelfire

Продукт
Разработчики: Центральное разведывательное управление (ЦРУ)

В конце августа 2017 года сайт WikiLeaks опубликовал новую порцию документов, описывающих вредоносное программное обеспечение, разработанное в ЦРУ. На сей раз речь идет о проекте Angelfire, специализированной программной среде, предназначенной для заражения компьютеров на базе Windows.[1]

Согласно опубликованному руководству пользователя, Angelfire включает пять различных компонентов, у каждого из которых свое собственное назначение:

1. Solartime - вредонос - модификатор загрузочного сектора Windows, открывающий систему для второго компонента - Wolfcreek. 2. Wolfcreek - самозагружающийся драйвер, который затем может загружать прочие драйверы и приложения. 3. Keystone - компонент, отвечающий за запуск других «имплантов» (так в технических документах именуется вредоносное ПО). 4. BadMFS - скрытая файловая система, создаваемая на конечной границе активного раздела диска. Angelfire использует BadMFS для хранения других компонентов. Все файлы зашифрованы и замаскированы обфускацией.Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация 5.6 т 5. Windows Transitory File System - более новый компонент, альтернатива BadMFS. Вместо хранения файлов в секретной файловой системе, этот компонент использует временные файлы для хранения данных.

Согласно опубликованной документации, Angelfire работает на 32- и 64-разрядных версиях Windows XP, Windows 7 и 64-разрядных версиях Windows Server 2008 R2.

Интересно, что в отличие от многих других хакерских инструментов ЦРУ, Angelfire выглядит достаточно "сыро". В документах к нему перечислено множество проблем, которые так и не были решены. Например, известно, что антивирусные решения могут выявить присутствие BadMFS по файлу с названием zf. Кроме того, если какой-то из компонентов Angelfire "падает", пользователю выводится окно с информацией об этом.

Известно так же, что процесс Keystone всегда выводится как C:\Windows\system32\svchost.exe, в том числе и тогда, когда Windows установлена на каком-либо другом логическом разделе диска - например, D.

«
Подобные инструменты обыкновенно разрабатываются под конкретную цель, и лишь потом используются серийно, — полагает Георгий Лагода, генеральный директор компании SEC Consult Services. — Возможно, Angelfire не довели до ума потому, что нужда в нем быстро отпала.
»

Это уже 19-я публикация Wikileaks, посвященная инструментам ЦРУ в рамках кампании Vault 7. И, по всей видимости, далеко не последняя.

Примечания