ЦРУ украло троян у «русских хакеров»
При создании своих хакерских инструментов ЦРУ заимствует фрагменты различного вредоносного ПО, созданного независимыми хакерами. Например, инструмент Grasshopper частично списан с банковского вируса Carberp, авторство которого приписывается российским хакерам. Grasshopper предназначен для создания кастомных имплантантов для ОС Windows.
WikiLeaks рассказал о Grasshopper
Ресурс WikiLeaks опубликовал очередной пакет секретных документов Центрального разведывательного управления (ЦРУ) США, который содержит 27 файлов. Публикация состоялась в рамках проекта Vault 7, посвященного действиям ЦРУ в сфере кибербезопасности. Новые документы рассказывают о платформе Grasshopper – инструменте для создания вредоносного ПО для взлома ОС Windows.
Grasshopper содержит набор модулей, из которых можно собрать настраиваемый вирус-имплантант. Модель поведения вируса задается в зависимости от характеристик компьютера жертвы. Перед внедрением имплантанта целевой компьютер исследуется на предмет того, какая на нем установлена версия Windows и какое используется защитное ПО. Если эти параметры подходят вирусу, он инсталлируется на устройство. При установке имплантант остается невидимым для таких известных антивирусных программ как MS Security Essentials, Rising, Symantec Endpoint и Kaspersky Internet Security.
Заимствование у российских хакеров
Один из механизмов устойчивости Grasshopper носит название Stolen Goods. Согласно документации, основой для этого механизма послужила программа Carberp – вредоносное ПО для взлома банковских сетей. Предположительно, Carberp был разработан российскими хакерами, гласят документы ЦРУ.
Заимствование кода Carberp стало возможным благодаря тому, что он был выложен в открытом доступе. ЦРУ утверждает, что «большая часть» кода им не пригодилась, однако механизм сохранения устойчивости и некоторые компоненты инсталлятора были взяты на вооружение и модифицированы для нужд ведомства.
WikiLeaks вообще уделяет большое внимание тому факту, что специалисты ЦРУ при создании своих инструментов регулярно используют вредоносное ПО, разработанное в криминальном мире. Об этом свидетельствуют и другие документы – например, утекшие материалы итальянской кибергруппы HackingTeam. Эта группа создает шпионское ПО для различных госведомств.
Публикация документов Marble
Документация Grasshopper – это четвертая по счету публикация WikiLeaks, осуществленная в рамках проекта Vault 7. Третья, увидевшая свет 31 марта, была посвящена инструменту Marble и насчитывала 676 файлов с его кодом. Программа Marble была создана в 2015 г. и использовалась ЦРУ в 2016 г. С ее помощью ведомство сбивало со следа ИБ-специалистов, которые расследовали хакерские атаки управления.
Задача Marble заключалась в том, чтобы прятать текстовые фрагменты вредоносных программ ЦРУ при визуальном осмотре. WikiLeaks сравнивает действие Marble с практикой маскировать английские надписи на оружии, которое ведомство поставляет неофициально поддерживаемым боевикам. Marble проводит обфускацию кода, сохраняя при этом возможность вернуть его в прежнее состояние. Наличие де-обфускатора дает шанс следствию все же выявить причастность ЦРУ к исследуемой атаке, пишет WikiLeaks.
Однако работу ИБ-специалистов усложняет то, что Marble работает не только с английским языком, но и с китайским, русским, корейским, арабским и фарси. Это позволяет ЦРУ разыгрывать довольно сложные комбинации: например, представить дело так, будто разработчики вредоносного ПО использовали китайский язык, а потом постарались это скрыть. Такая тактика вводит следствие в еще более глубокое заблуждение.
О проекте Vault 7
В начале марта 2017 г. ресурс WikiLeaks приступил к публикации массива утекших документов ЦРУ, которые попали в руки владельцев сайта. Проект получил название Vault 7. По объему и значимости его сравнивают с разоблачениями Эдварда Сноудена (Edward Snowden) в 2013 г. Первый опубликованный пакет данных Vault 7 называется Year Zero и содержит более 8,7 тыс. файлов. В них, помимо прочего, присутствует информация о хакерских инструментах ЦРУ и уязвимостях в ПО крупных вендоров, таких как Google, Apple, Microsoft, Cisco и Samsung.
Через две недели после этого WikiLeaks поделилась вторым пакетом документов ЦРУ под названием Dark Matter. В документах описаны различные инструменты, которые ведомство уже около 10 лет использует для взлома iPhone и Mac. Некоторые из них устанавливаются на продукты Apple, как только они сходят с конвейера, для чего ЦРУ перехватывает поставки. Сама Apple заявляет, что все уязвимости, описанные в Dark Matter, давно устранены.