Новый троян ЦРУ мешает работать пользователям PowerPoint, «потому что они этого заслуживают!»

Безопасность Стратегия безопасности Интернет Веб-сервисы ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев
В рамках публикации архива ЦРУ, Wikileaks опубликовала описания хакерских инструментов AfterMidnight и Assassin. Несмотря на свою простоту и кажущуюся безобидность , оба представляют серьезную угрозу.

Полуночные гремлины

Wikileaks в рамках своей кампании Vault 7 опубликовала еще два хакерских инструмента, созданных в ЦРУ, - AfterMidnight и Assassin. Оба представляют серьезную степень угрозы, хотя и довольно просты по сути. Помимо самих инструментов, опубликована и документация к ним.

Фреймворк AfterMidnight, согласно его описанию, создан не столько для причинения вреда или кражи данных, сколько для причинения мелких неудобств пользователю. По своей сути, это бэкдор, который устанавливается в систему в виде файла DLL, после чего начинает закачивать на зараженный компьютер модули, носящие характерное название «гремлины» (Gremlins, Gremlinware).

Как и полагаются гремлинам, те начинают разными способами досаждать пользователю, дестабилизируя нормальную работу установленных в системе программ.

В описании вредоносного фреймворка говорится: «Гремлин может нарушать выполнение существующих или запускаемых процессов несколькими раздражающими способами: либо задерживать их выполнение, либо останавливая процессы, либо подвешивая их так, что пользователю приходится отключать их вручную».

Можно задавать регулярность подобного вмешательства в нормальную работу и определять, какое количество процессов будут атакованы «гремлином».

«Гремлин», разработанный ЦРУ, каждые 30 секунд подвешивают PowerPoint, Internet Explorer и Firefox

В документации приводятся два примера использования «гремлинов». Один из них предполагает максимальное затруднение работы с Microsoft PowerPoint («Потому что, признаемся, пользователи PP заслуживают этого!» - говорится в описании). Например, каждые десять минут половина ресурсов PowerPoint «зависает», а запуск слайд-шоу может занимать 30 секунд.

Второй пример предполагает остановку процессов браузеров (Microsoft Internet Explorer и Mozilla Firefox) каждые 30 секунд. Это делается для того, чтобы пользователь меньше отвлекался на интернет и больше времени тратил на рабочие приложения. У этого есть практический смысл: чем больше времени пользователь уделит работе, тем больше данных может собрать шпионское ПО. Тут необходимо заметить, что помимо «гремлинов-пакостников», AfterMidnight может закачивать в систему и другой тип «гремлинов» - крадущих данные.

Есть и третий тип «гремлинов»: их задачей является обеспечение функциональной работоспособности двух других типов.

Бесшумный убийца

Второй вредоносный фреймворк - Assassin - во многом похож на AfterMidnight, но его конечной целью является установка бэкдора на компьютер жертвы и вывод данных с него.

Assassin включает компилятор вредоноса, имплант, командный сервер и «пост прислушивания» - модуль, выполняющий роль посредника между имплантом и контрольным сервером.

Имплант - то есть, непосредственно сам вредонос, - способен выполнять целый ряд различных задач, в первую очередь, шпионских. Имплант устанавливается в систему в качестве службы Windows.

Откуда что берется

В публикации Wikileaks утверждается, что эти вредоносы и документация к ним были получены от хакеров и информаторов – по-видимому, из самих спецслужб. Начиная с 7 марта 2017 г. и до настоящего времени все публикации Wikileaks посвящены хакерскому инструментарию ЦРУ.

«Нельзя исключать, что так называемые утечки «секретных инструментов» на деле являются способом их обкатки в реальных условиях, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Утверждать этого однозначно нельзя, но в теории эти утечки вполне могут служить для прощупывания киберсреды и изучения реакции других сторон противостояния на появление новых инструментов. На практическом же уровне такие утечки приводят всегда к одним и тем же последствиям: новые хакерские инструменты моментально пристраивают к делу самые обычные киберпреступники, мотивированные только возможностью легкого заработка».