Спецпроекты

В крупнейшем взломе ЦРУ виноваты его сотрудники: Они строили кибероружие вместо того, чтобы заниматься ИБ

Безопасность Стратегия безопасности Маркет

Власти США обвинили сотрудников ИБ-отдела ЦРУ в невольном пособничестве хакерам, взломавшим сеть Управления и укравшим десятки терабайт данных о секретном кибероружии. Как утверждается, они не уделяли должного внимания кибербезопасности, что и привело к утечке, о которой ЦРУ узнало лишь спустя год, и то благодаря WikiLeaks.

Виноваты ИБ-эксперты

Стало известно, что послужило причиной самой крупной утечки данных в истории Центрального разведывательного управления США (ЦРУ). Помощь хакерам, сами того не подозревая, оказали сотрудники ведомства.

Об этом стало известно из внутреннего отчета ЦРУ, опубликованного сенатором США Роном Уайденом (Ron Wyden). В документе сказано, что вина лежит на сотрудниках отдела ЦРУ, занимающегося вопросами информационной безопасности.

Утечка, произошедшая в 2016 г. в результате взлома систем «Центра киберразведки» ЦРУ (Center for Cyber Intelligence), позволила понять, что Управление работало над неким кибероружием, позволявшим ему взламывать чужие системы, устройства и программы. Согласно этому отчету, ИБ-специалисты Управления, несмотря на свой высокий профессионализм, сконцентрировались «на создании кибероружия, не уделяя должного внимания безопасности собственных систем».

Как ЦРУ допустила утечку

Согласно опубликованному Уайденом отчету, информационная безопасность ЦРУ на момент утечки данных была на не самом высоком уровне. «Значительная часть нашего кибероружия не была разделена, пользователи обменивались между собой паролями уровня администратора сети. К тому же, у нас отсутствовали эффективные средства управления внешними носителями информации, плюс важные сведения были доступны пользователям на неопределенный срок».

csi600.jpg
Утечку данных в ЦРУ допустили те, кто должен был предотвращать взломы

Имен и фамилий ответственных за утечку отчет не раскрывает. Также стоит отметить, что сам факт утечки был обнаружен лишь спустя год после того, как хакеры, сумевшие взломать ЦРУ и остаться не только незамеченными, но и не пойманными, украли у ведомства свыше 35 ТБ (терабайтов) секретной информации. Точный объем на момент публикации материала установлен не был.

Неожиданная помощь WikiLeaks

Опубликованный отчет гласит, что если бы информация была украдена в интересах вражеского (для США) государства и при этом не была бы опубликована, в ЦРУ так никогда и не узнали бы об этой утечке. Открыть глаза на произошедшее руководству ведомства, а также властям США, помог ресурс WikiLeaks.

Именно WikiLeaks начал распространять сведения об утечке – в первой половине марта 2017 г. он приступил к публикации массива утекших документов ЦРУ, которые попали в руки владельцев сайта. Проект получил название Vault 7. По объему и значимости его сравнивают с разоблачениями Эдварда Сноудена (Edward Snowden) в 2013 г. Первый опубликованный пакет данных Vault 7 назывался Year Zero и содержал свыше 8700 файлов. В них, помимо прочего, находилась информация и о хакерских инструментах ЦРУ.

Хакерские наработки Управления

Согласно утекшим документам, ЦРУ на тот момент вело работу по поиску уязвимостей в различных программных продуктах, что позволяет ведомству их взламывать. В список попали не только высокоуровневые системы типа Windows, iOS и Android, но и более простые прошивки, в том числе те, которые Cisco использует в своих роутерах, а Samsung, например, в умных телевизорах. Помимо этого, в список наработок ЦРУ входили инструменты для перехвата сообщений WhatsApp, Telegram, Signal и др. еще до того как подвергались шифрованию.

Правдивость сведений, опубликованных WikiLeaks, подтвердила компания Cisco, упомянутая в документах. Как сообщал CNews, в конце марта 2017 г. она самостоятельно отыскала в своей продукции уязвимости, упомянутые в документах ЦРУ. Бреши присутствовали в 300 моделях коммутаторов, и через них можно было взломать операционные системы Cisco IOS и Cisco IOS XE.

В утекшей информации также были доказательства того, что в консульстве США во Франкфурте-на-Майне (Германия) находится (или находился) некий секретный хакерский центр Управления. В его задачи входят проведение различных киберпераций в Европе, Азии и на Ближнем Востоке.

Разведчики США взламывали технику Apple

Публикацией первой части проекта Vault 7 WikiLeaks не ограничился. 24 марта 2017 г. ресурс рассекретил очередную порцию документов ЦРУ под названием Dark Matter. В бумагах описаны хакерские инструменты, с помощью которых ведомство взламывало устройства Apple несколько лет назад. Для установки некоторых программ ЦРУ приходилось перехватывать технику прямо с конвейера.

Одна из упомянутых программ называлась NightSkies 1.0. Это маячок-имплант, который ЦРУ, судя по документам, использовало как минимум с 2008 г. Сразу после публикации WikiLeaks Apple заявила, что все проблемы, описанные в Dark Matter, давно решены. В частности, NightSkies работал только на iPhone 3G, и его использование стало невозможно после выпуска iPhone 3GS. Все уязвимости, касающиеся Mac, были закрыты начиная с 2013 г.

ЦРУ украло троян у «русских хакеров»

10 апреля 2017 г. WikiLeaks опубликовал очередной пакет секретных документов ЦРУ, который содержал 27 файлов. Публикация вновь состоялась в рамках проекта Vault 7, посвященного действиям ЦРУ в сфере кибербезопасности. Новые документы рассказывали о платформе Grasshopper – инструменте для создания вредоносного ПО для взлома ОС Windows.

Grasshopper был частично списан с банковского вируса Carberp, авторство которого приписывается российским хакерам. Инструмент содержит набор модулей, из которых можно собрать настраиваемый вирус-имплантант. Модель поведения вируса задается в зависимости от характеристик компьютера жертвы. Перед внедрением имплантанта целевой компьютер исследуется на предмет того, какая на нем установлена версия Windows и какое используется защитное ПО. Если эти параметры подходят вирусу, он инсталлируется на устройство. При установке имплантант остается невидимым для таких известных антивирусных программ как MS Security Essentials, Rising, Symantec Endpoint и Kaspersky Internet Security.

Вирусы для взлома Mac и Linux

Новая публикация данных ЦРУ в рамках проекта WikiLeaks Vault 7 состоялась в конце июля 2017 г. В ней упоминалось вредоносное ПО, вирусы и системы дистанционного управления вредоносными программами, которыми ЦРУ якобы заражало хакеров и подрядчиков правительства США. Фигурировали даже конкретные названия и описания хакерских инструментов: Achilles, Aeris и SeaPea.

Программа Achilles позволяет ЦРУ заражать троянами образ установочного диска ОС Mac с расширением *.dmg. При этом могут выполняться одна или даже несколько операций, которые позволят в дальнейшем отслеживать определенные действия пользователей. Aeris предназначена для кражи информации с электронных носителей и адаптирована под Linux. Этот автоматизированный имплант написан на языке C и может поражать множество дистрибутивов, в том числе — Debian, Red Hat, Solaris, FreeBSD и CentOS. В Wikileaks утверждают, что это ПО функционирует по принципам бэкдоров — намеренных дефектов алгоритмов, заточенных под конкретные операции.

Наконец, SeaPea используется ЦРУ в качестве руткита для Mac OS X версий 10.6 и 10.7, и позволяет агентам внедряться в систему при ее перезагрузке для выполнения операций мониторинга и запуска. Также SeaPea скрывает от пользователей те соединения, с помощью которых данные передаются с зараженного компьютера.