Vault 7: опубликована коллекция хакерских инструментов ЦРУ | РИА-Лента
Главная » В Мире » Vault 7: опубликована коллекция хакерских инструментов ЦРУ

Vault 7: опубликована коллекция хакерских инструментов ЦРУ

Пресс-релиз

7 марта 2017 года сайт Wikileaks начал публикацию новой серии секретных документов Центрального разведывательного управления США. Эта коллекция документов, получившая от Wikileaks название «Vault 7» («Сейф №7»), является крупнейшей серией конфиденциальных документов о ЦРУ.

Первая часть коллекции — «Year Zero» — содержит 8761 файл из изолированной сети с высокой степенью защиты, которая находится в Центре киберразведки ЦРУ в Лэнгли, штат Вирджиния. Это продолжение тех утечек, которые были опубликованы в феврале и которые касались операций ЦРУ, направленных против французских политический партий и кандидатов в преддверие президентских выборов во Франции 2012 года.

Недавно ЦРУ лишилось контроля над основной частью своего хакерского арсенала, включая вредоносные программы, вирусы, трояны, превращенные в оружие 0day-эксплойты («уязвимости нулевого дня»), системы удаленного контроля вредоносных программ и соответствующая документация. Эта невероятная утечка, включающая в себя несколько сотен миллионов строк кода, предоставляет своему обладателю полный хакерский арсенал ЦРУ. Этот архив, по всей видимости, распространялся несанкционированным образом среди бывших хакеров американского правительства и его подрядчиков, один из которых передал WikiLeaks часть этого архива.

Year Zero демонстрирует истинный масштаб и направление глобальной секретной хакерской программы ЦРУ, его арсенал вредоносных программ и десятки 0day-эксплойтов, которые применялись против широкого спектра американских и европейских устройств и продуктов, включая iPhone компании Apple, Android компании Google, Windows компании Microsoft и даже телевизоры компании Samsung, которые превращались в микрофоны для записи разговоров.

С 2001 года ЦРУ пользуется политическим и бюджетным преимуществом над Агентством национальной безопасности США. Стало известно, что ЦРУ создавало не только свой печально известный флот беспилотников, но и секретные силы мирового охвата совершенно иного рода: собственную многочисленную армию хакеров. Хакерский отдел ЦРУ освобождал это агентство от необходимости сообщать о своих зачастую противоречивых операциях АНБ (его главному бюрократическому сопернику), чтобы пользоваться хакерским потенциалом АНБ.

К концу 2016 года хакерский отдел ЦРУ, который формально входит в состав Центра киберразведки это агентства, насчитывал более 5 тысяч зарегистрированных пользователей и сумел создать более тысячи хакерских систем, троянов, вирусов и других вредоносных программ, превращенных в оружие. Масштабы операций этого отдела ЦРУ были настолько большими, что к 2016 году суммарный размер их вредоносных программ превысил размер кода, управляющего Facebook. Таким образом, ЦРУ создало свое собственное «АНБ», которое не отчитывалось практически ни перед кем, и агентству не потребовалось публично отвечать на вопрос о том, чем можно оправдать огромные расходы на содержание такой конкурирующей структуры.

В своем заявлении, направленном в WikiLeaks, источник пишет о тех вопросах, которые необходимо срочно вынести на публичное обсуждение, включая вопрос о том, не превышает ли хакерский потенциал ЦРУ те полномочия, которыми оно наделено, а также проблему общественного контроля над этим агентством. Источник хочет инициировать публичные дискуссии по вопросам безопасности, создания, использования, распространения и демократического контроля над кибероружием.

В том случае если агентство потеряет контроль над тем или иным киберорудием, оно распространится по всему миру в течение нескольких секунд и может быть использовано государствами-противниками, кибер-мафией и даже хакерами-подростками.

Редактор WikiLeaks Джулиан Ассанж (Julian Assange) заявил: «Существует большой риск распространения в сфере разработки кибероружия. Неконтролируемое распространение такого «оружия», проистекающее из невозможности сдерживать его и его высокой рыночной стоимости, можно сравнить с международной торговлей оружием. Однако значение Year Zero выходит далеко за рамки выбора между кибервойной и кибермиром. Эти утечки имеют исключительное значение с политической, правовой и экспертной точек зрения».

Wikileaks тщательно проанализировал Year Zero и опубликовал существенную часть документации ЦРУ, не допустив при этом распространения «боевого» кибероружия до момента возникновения консенсуса по поводу технической и политической природы программы ЦРУ и методики того, как такое «оружие» должно анализироваться, утилизироваться и публиковаться.

КонтекстРоссийские хакеры помогают ТрампуHaaretz25.07.2016
Wikileaks также принял решение отредактировать и обезличить идентифицирующую информацию в Year Zero для детального анализа. Среди данных, которые были вымараны, оказались данные о десятках тысяч атакующих и атакуемых систем в Латинской Америке, Европе и США. Хотя нам известно о небезупречности результатов любого подхода, мы сохраняем верность нашей издательской модели и отмечаем, что количество опубликованных страниц первой части «Vault 7» (Year Zero) уже превышает общее число страниц документов АНБ, переданных Wikileaks Эдвардом Сноуденом и опубликованных за первые три года.

Анализ


Вредоносные программы ЦРУ атакуют iPhone, Android и телевизоры SmartTV

Хакерские программы и инструменты ЦРУ создает так называемая Группа инженерных разработок (Engineering Development Group, EDG), работающая в составе Центра киберразведки, подчиняющегося Директорату цифровых инноваций (Directorate of Digital Innovation, DDI). DDI —это один из пяти основных директоратов современного ЦРУ.

EDG отвечает за разработку, испытания и операционную поддержку всех бэкдоров, эксплойтов, троянов, вирусов и других разновидностей вредоносных программ, используемых ЦРУ в его скрытых операциях по всему миру.

Нарастающая сложность технологий слежки вызывает в сознании образ 1984 года Джорджа Оруэлла, однако «Weeping Angel» («Плачущий ангел»), который был разработан Отделом интегрированных устройств (Embedded Devices Branch (EDB)) и который заражает телевизоры SmartTV, превращая их в скрытые микрофоны, является их самой яркой реализацией.

Атака на «умные» телевизоры компании Samsung была проведена в сотрудничестве с MI5/BTSS Соединенного Королевства. После заражения телевизора, «Weeping Angel» вводит его в состояние мнимого отключения, чтобы его владелец считал его выключенным, хотя на самом деле телевизор включен. В таком режиме телевизор выполняет функцию подслушивающего устройства, записывая разговоры в помещении и отправляя их по интернету на секретный сервер ЦРУ.

В октябре 2014 года ЦРУ пыталось найти способы заражать вредоносными программами системы контроля современных автомобилей и грузовиков. Цель установления такого контроля пока не ясна, однако это, возможно, позволило бы ЦРУ совершать убийства, которые невозможно раскрыть.

Отдел мобильных устройств (Mobile Devices Branch, MDB) разработал многочисленные программы для взлома и контроля над популярными смартфонами, открывающие доступ к данным геолокации, аудио и смс-сообщениям пользователя, а также скрытно активирующие их камеру и микрофон.

Несмотря на то, что доля iPhone на мировом рынке смартфонов не так велика (14,5%), специализированное подразделение в MDB создает вредоносные программы, позволяющие заражать, контролировать и похищать данные из iPhones и других продуктов компании Apple, на которых стоит iOS, таких как iPad.

В арсенал ЦРУ входит множество «уязвимостей нулевого дня», разработанных ЦРУ, позаимствованных у Центра правительственной связи, АНБ и ФБР или приобретенных у таких разработчиков кибероружия, как Baitshop. Такое внимание к системе iOS, возможно, объясняется популярностью iPhone среди представителей социальной, политической, дипломатической и деловой элиты.

Есть еще одно подразделение, которое специализируется на ОС Android компании Google, установленной в большинстве смартфонов мировых производителей, включая Samsung, HTC и Sony. В прошлом году в мире было продано 1,15 миллиарда смартфонов на базе ОС Android. Документы Year Zero показывают, что в 2016 году у ЦРУ уже было 24 «военизированных» 0day-эксплойта, которые оно разработало самостоятельно или приобрело у Центра правительственной связи, АНБ или у подрядчиков.

Эти технологии позволяют на системном уровне обходить защиту популярных «защищенных» мессенджеров, таких как Telegram, WhatsApp, Signal, Wiebo, Confide и Cloackman, взламывая смартфоны и похищая аудио- и текстовые сообщения еще до того, как они подверглись шифровке.

Вредоносные программы ЦРУ атакуют Windows, OSx, Linux, маршрутизаторы

ЦРУ также прикладывает массу усилий для того, чтобы заражать своими вредоносными программами и контролировать системы пользователей Microsoft Windows. Среди необходимых для этого инструментов можно назвать многочисленные местные и удаленные «военизированные» 0day-эксплойты, такие вирусы, как Hammer Drill, которые заражают данные, хранящиеся на CD/DVD, вирусы для USB-накопителей, программы для маскировки данных в файлах изображений и в скрытых областях жестких дисков (Brutal Kangaroo) и для обеспечения дальнейшего заражения.

Большую часть этих задач выполняет Отдел автоматизированных имплантатов (Automated Implant Branch, AIB), который разработал несколько атакующих систем для автоматического заражения и контроля, таких как Assassin («Убийца») и Medusa.

Атаками на инфраструктуру интернета и веб-серверы занимается Отдел сетевых устройств (Network Devices Branch, NDB.

ЦРУ разработал автоматизированные многоплатформенные системы для заражения и установление контроля над Windows, Mac OS X, Solaris, Linux и так далее, такие как HIVE и связанные с ней Cutthroat («Головорез») и Swindle («Махинатор»), которые описываются ниже.

«Накопленные» уязвимости ЦРУ («уязвимости нулевого дня»)

После разоблачений Эдварда Сноудена, касавшихся деятельности АНБ, американская технологическая индустрия взяла с администрации Обамы обещание сообщать в оперативном порядке производителям, таким как Apple, Google и Microsoft, обо всех обнаруженных серьезных уязвимостях, эксплойтах, багах и «уязвимостях нулевого дня».

Серьезные уязвимости, о которых не было сообщено производителям, подвергают огромное множество граждан и объектов ключевой инфраструктуры риску стать жертвами иностранной разведки или кибер-преступников, которые сами обнаружат эти уязвимости или услышат о них от других. Если ЦРУ может обнаружить эти уязвимости, то же самое могут сделать и остальные.

Введенные администрацией президента США Барака Обамы обязательства по раскрытию производителям устройств ключевых уязвимостей (Vulnerabilities Equities Process) стали результатом мощной лоббистской кампании американских технологических компаний, которые рискуют лишиться своей доли на мировом рынке из-за реальных и предполагаемых уязвимостей. Правительство пообещало сообщать обо всех обнаруженных им после 2010 года уязвимостях в оперативном порядке.

Документы Year Zero показывают, что ЦРУ нарушило обещание администрации Обамы. Множество уязвимостей, находящихся в арсенале ЦРУ, являются широко распространенными и могли быть обнаружены разведывательными агентствами других стран или киберпреступниками.

К примеру, одна из вредоносных программ ЦРУ, о которых говорится в Year Zero, способна проникать, заражать и контролировать и телефоны на базе ОС Android и программное обеспечение iPhone, с которых ведутся или велись президентские Twitter-аккаунты. ЦРУ атакует эти системы благодаря уязвимостям (нулевого дня), о которых ЦРУ не сообщило производителям. Но, если ЦРУ может взламывать эти телефоны, то же самое может сделать тот, кто каким-то образом обнаружит эту уязвимость. Пока ЦРУ скрывает эти уязвимости от Apple и Google, которые производят смартфоны, их невозможно устранить, и эти смартфоны можно будет взламывать и дальше.

Эти риски касаются населения в целом, включая членов администрации США, Конгресса, глав ведущих корпораций, системных администраторов, экспертов по безопасности и инженеров. Скрывая уязвимости от таких производителей, как Apple и Google, ЦРУ гарантирует себе возможность взламывать кого угодно, одновременно подвергая всех опасности быть взломанными.

Программы «кибервойны» несут в себе серьезный риск распространения кибероружия

Кибероружие невозможно держать под эффективным контролем.

В то время как распространение ядерного оружия получается сдерживать посредством огромных затрат и за счет масштабной инфраструктуры, кибероружие, как только оно было создано, крайне сложно контролировать.

Кибероружие представляет собой всего лишь компьютерные программы, которые можно украсть. Поскольку они целиком состоят из данных, их можно скопировать, не затратив при этом никаких усилий.

Сохранить такое «оружие» особенно трудно, потому что те люди, которые его разрабатывают и применяют, обладают всеми необходимыми навыками для того, чтобы скопировать его, не оставив следов — порой используя то же самое «кибероружие» против организаций, которые его предоставляют. Высокая цена таких программ — это мощный стимул для правительственных хакеров и консультантов, поскольку существует целый глобальный «рынок уязвимостей», где за копии такого кибероружия могут заплатить от нескольких сотен долларов до нескольких миллионов. Подрядчики и компании, получающие такое оружие порой используют его для своих собственных целей, приобретая преимущества над своими конкурентами в продаже «хакерских» услуг.

В последние три года разведывательный сектор США, состоящий из таких правительственных агентств, как ЦРУ и АНБ, и их подрядчиков, таких как Booz Allan Hamilton, становился жертвой беспрецедентного количества утечек, за которыми стояли их собственные сотрудники.

Несколько представителей разведывательного сообщества, чьи имена пока не раскрываются, уже были арестованы или подверглись уголовному преследованию.

Самым заметным случаем стал приговор, вынесенный Гарольду Мартину (Harold T. Martin), который был признан виновным по 20 пунктам, связанным с разглашением информации с ограниченным доступом. Министерство юстиций сообщило, что ему удалось перехватить у Гарольда Мартина 50 гигабайтов информации, к которой он имел доступ в ходе работы над секретными программами АНБ и ЦРУ, включая исходный код для множества хакерских инструментов.

Как только одно «киберорудие» выходит из-под контроля, оно может распространиться по всему миру в течение нескольких секунд, и им могут воспользоваться другие государства, кибермафия и даже хакеры-подростки.

=====================

Примеры

В системе управления отдела технических разработок ЦРУ (EDG) содержится около 500 различных проектов (лишь некоторые из них обозначены «Нулевым годом»), в каждом из них есть свои субпроекты, хакерские программы и инструменты.

Большинство этих проектов относятся к инструментам, используемым для взломов, инфицирования («внедрения»), контроля и извлечения.

Другая линия разработки сосредоточена на развитии и деятельности Постов прослушивания (LP) и систем командования и контроля (С2), используемых для установления связи и контролирования имплантов; специальные проекты используются для того, чтобы атаковать особое оборудование от роутеров до умных телевизоров.

Некоторые примеры таких проектов приведены ниже. С полным списком описанных WikiLeaks в «Нулевом годе» проектов можно ознакомиться в оглавлении.

UMBRAGE

Неумелые хакерские приемы ЦРУ представляют для агентства проблему. Каждый созданный им прием образует своего рода «отпечаток пальца», который может использоваться судебными следователями для установления единого источника различных атак.

Это аналогично нахождению следов одного и того же особенного ножа на теле разных не связанных друг с другом жертв. Уникальный способ нанесения ран создает подозрение, что в убийствах замешан один и тот же убийца. Как только раскрывается одно из убийств в цепочке, другие убийства скорее всего также могут быть раскрыты.

Отделение удаленных устройств ЦРУ группа UMBRAGE собирает и хранит внушительную библиотеку техник нападения, «украденных» с хакерского оборудования, произведенного в других странах, в том числе в Российской федерации.

При помощи UMBRAGE и связанных с ним проектов ЦРУ может не только увеличить общее количество видов атак, но и увести след, оставляя «отпечатки» тех групп, чья техника была украдена.

Среди компонентов UMBRAGE имеются кейлоггеры, коллекция паролей, информация с вебкамер, уничтоженные данные, долговременное хранение, предоставление привилегий, обеспечение малозаметности, уход от антивирусных программ (PSP) и приемов наблюдения.

Fine Dining

Fine Dining имеет стандартную анкету, то есть меню, которое заполняют оперативники ЦРУ. Анкета используется Отделом технической поддержки агентства (OSB) для того, чтобы трансформировать запросы оперативников в технические требования для хакерских атак (обычно путем «изъятия» информации из компьютерных систем), необходимых для конкретных операций. Анкета позволяет OSB определить, как наладить существующие инструменты к операции, и передать эту информацию сотрудникам, отвечающим за конфигурацию хакерского программного обеспечения ЦРУ. OSB функционирует как соединение между оперативниками ЦРУ и соответствующими сотрудниками отдела технической поддержки.

В списке возможных целей в коллекции указаны «Сотрудник» («Asset»), «Связной» («Liason Asset»), «Системный администратор» («System Administrator»), «Операции по зарубежной информации» («Foreign Information Operations»), «Зарубежные разведывательные агентства» («Foreign Intelligence Agencies») и «Зарубежные правительственные учреждения» («Foreign Government Entities»). Стоит отметить отсутствие какой-либо информации об экстремистах или международных преступниках. «Оперативный сотрудник» также должен уточнить характеристики цели, например, тип компьютера, используемую информационную систему, интернет-связь, установленные антивирусные утилиты (PSP), а также список типов файлов, подлежащих изъятию, например, документы Office, аудио, видео, изображения или типы пользовательских файлов. В «меню» также требуется информация о том, возможен ли повторный доступ к цели и как долго может поддерживаться доступ к компьютеру, пока он не будет обнаружен. Эту информацию использует программное обеспечение «JQJIMPROVISE» (см. ниже) для конфигурации серии хакерских программ ЦРУ, соответствующих конкретным нуждам в рамках операции.

Improvise (JQJIMPROVISE)

«Improvise» — это набор инструментов для конфигурации, послеоперационной обработки, настройки полезной нагрузки и выбора вектора исполнения для инструментов исследования/извлечения, поддерживающих все основные операционные системы, такие как Windows (Bartender, «бармен»), MacOS (JukeBox, «музыкальный автомат») и Linux (DanceFloor, «танцпол»). Его конфигурационные утилиты, например, Margarita, позволяет NOC (Операционному центру сети) персонализировать инструменты, опираясь на требования анкет «Fine Dining».

HIVE

HIVE — это многоплатформный комплекс хакерского программного обеспечения ЦРУ и связанного с ним контролирующего программного обеспечения. Проект обеспечивает персонализируемые импланты для Windows, Solaris, MikroTik (используемые в интернет-роутерах), а также техническую базу для платформ Linux и Поста прослушивания (LP)/Системы командования и контроля (С2) для осуществления связи с этими имплантами.

Импланты сконфигурированы для связи с помощью HTTPS с сервером защитного домена; каждая операция с использованием этих имплантов имеет отдельный защитный домен, а техническая база может выдержать любое количество защитных доменов.

Каждый домен ведет к IP-адресу коммерческого провайдера VPS (виртуального частного сервера). Общедоступный сервер отсылает весь входящий трафик через VPN на сервер «Blot», который контролирует настоящие запросы соединения от клиентов. Это порядок для дополнительной SSL аутентификации клиента: если он отправляет действующий клиентский сертификат (а это могут сделать только импланты), связь передается тулсерверу «Honeycomb», связывающемуся с имплантом; если действующий сертификат не предоставляется (такое бывает, если кто-то пытается случайно открыть сайт с защитным доменом), то трафик направляется к защитному серверу, отправляющему на не вызывающий подозрений сайт.

Тулсервер Honeycomb получает изъятую информацию от импланта; оператор может также дать импланту задание исполнить работу на заданном в качестве цели компьютере, таким образом, тулсервер выполняет функцию сервера С2 (Системы командования и контроля) для импланта.

Подобный функционал (хоть и ограниченный Windows) обеспечивает проект RickBobby. См. секретные инструкции пользователя и разработчика для HIVE.

Часто задаваемые вопросы


Почему сейчас?

WikiLeaks опубликовал информацию, как только она была проверена и проанализирована.

В феврале администрация Трампа издала президентский указ, призывающий к подготовке доклада о «Кибервойне» в 30-дневный срок.

При том что доклад задерживается и обостряет важность публикации, он не повлиял на назначение даты выхода материала.

Обработка

Имена, адреса электронной почты и внешние IP-адреса были изменены в опубликованных страницах (всего 70875 изменений) до завершения анализа.

1. Иные поправки: редакции подверглась некоторая информация, не касающаяся сотрудников, исполнителей, целей и иных связей с агентством; например, она касалась авторов документации для иных общественных проектов, задействованных агентством.

2. Личность vs. человек: исправленные имена заменены пользовательскими ID (номерами), чтобы дать читателям возможность связать большие объемы страниц с одним автором. Учитывая примененную процедуру исправления, один человек может быть представлен более чем одним идентификатором, но идентификатор не может соответствовать более чем одному человеку.

3. Архивные приложения (zip, tar.gz,…) заменены PDF, где перечисляются все названия файлов в архиве. Как только контент архива будет проверен, он может быть доступен; до этого времени архив будет редактироваться.

4. Приложения с другим двухуровневым контентом заменены шестнадцатеричным дампом контента для предотвращения случайной активации маршрутов, которые могли быть заражены хакерскими программами ЦРУ. Как только контент будет проверен, он может стать доступен; до этого контент будет редактироваться.

5. Десятки тысяч ссылок на маршрутизируемые адреса (в том числе более 22 тысяч на территории США), соответствующих возможным целям, скрытым серверам прослушки ЦРУ, посредническим и тестовым системам редактируются для проведения дальнейшего эксклюзивного расследования.

6. Двухуровневые файлы непубличного происхождения доступны только как дампы для предотвращения случайной активации зараженных хакерскими программами ЦРУ файлов.

Организационная структура

Организационная структура соответствует материалу, который до нынешнего момента публиковался WikiLeaks.

С тех пор как организационная структура ЦРУ ниже уровня дирекций не является общедоступной, размещение EDG и его отделов в структуре агентства восстанавливается из информации, содержащейся в документах, которые были на данный момент опубликованы. Это может служить в качестве грубого абриса внутренней организации; просим вас иметь в виду, что реконструированная организационная структура представлена не полностью, а внутренние реорганизации происходят часто.

Wiki-страницы

«Year Zero» содержит 7818 веб-страниц из внутренних разработок группового программного обеспечения. Программное обеспечение, использованное для этих целей, называется Confluence и является собственностью Atlassian. У веб-страниц в этой системе (как и в Wikipedia) есть история версий, которые дают интересную возможность взглянуть на эволюцию документа во времени; 7818 документов включают в себя истории этих страниц с 1136 последними версиями.

Порядок названных страниц на каждом уровне определяется датой (первая — самая ранняя). Содержимое страницы отсутствует, если оно изначально было динамически создано программным обеспечением Confluence (как указано на реконструированной странице).

Какой временной период охвачен?

С 2013 по 2016 год. Порядок сортировки страниц внутри каждого уровня определяется при помощи даты (первая — самая отдаленная).

WikiLeaks получил дату создания/последнего обновления ЦРУ каждой страницы, но по техническим причинам эта информация еще не отображается. Обычно дату можно установить или приблизительно выявить из контента и порядка страниц. Если вам крайне важно знать точное время/дату, свяжитесь с WikiLeaks.

Что такое «Vault 7»?

«Vault 7» — это крупное собрание материала о деятельности ЦРУ, добытое WikiLeaks.

Когда были получены отдельные части «Vault 7»?

Первая часть была получена недавно и касается всего 2016 года. Подробности о других частях будут доступны ко времени публикации.

Получена ли каждая часть «Vault 7» из отдельного источника?

Подробности о других частях будут доступны ко времени публикации.

Каков общий объем «Vault 7»?

Эта серия — самая обширная публикация о разведагентстве за всю историю.

Как WikiLeaks получил каждую часть «Vault 7»?

Источники предпочитают, чтобы WikiLeaks не раскрывал информацию, которая может способствовать их идентификации.

Не беспокоится ли WikiLeaks, что ЦРУ будет принимать меры против его сотрудников, чтобы остановить публикацию этой серии?

Нет. Это будет крайне контрпродуктивно.

WikiLeaks уже собрал все лучшие сюжеты?

Нет. WikiLeaks намеренно не завышал значения сотен громких историй, стимулируя других людей находить их и задавая, таким образом, экспертную планку для следующих публикаций в серии. Вот они. Взгляните. Читатели, которые продемонстрируют превосходные журналистские навыки, могут получить более ранний доступ к будущим частям.

Не опередят ли меня другие журналисты в поиске лучших сюжетов?

Навряд ли. Существует гораздо больше сюжетов, чем журналистов и академиков, способных писать о них.

(Текст дополняется)

Оставить комментарий

Ваш email нигде не будет показан