Vault 7: опубликована коллекция хакерских инструментов ЦРУ
08.03.2017443301
Пресс-релиз
7 марта 2017 года сайт Wikileaks начал публикацию новой серии секретных документов Центрального разведывательного управления США. Эта коллекция документов, получившая от Wikileaks название «Vault 7» («Сейф №7»), является крупнейшей серией конфиденциальных документов о ЦРУ.
Первая часть коллекции — «Year Zero» — содержит 8761 файл из изолированной сети с высокой степенью защиты, которая находится в Центре киберразведки ЦРУ в Лэнгли, штат Вирджиния. Это продолжение тех утечек, которые были опубликованы в феврале и которые касались операций ЦРУ, направленных против французских политический партий и кандидатов в преддверие президентских выборов во Франции 2012 года.
Недавно ЦРУ лишилось контроля над основной частью своего хакерского арсенала, включая вредоносные программы, вирусы, трояны, превращенные в оружие 0day-эксплойты («уязвимости нулевого дня»), системы удаленного контроля вредоносных программ и соответствующая документация. Эта невероятная утечка, включающая в себя несколько сотен миллионов строк кода, предоставляет своему обладателю полный хакерский арсенал ЦРУ. Этот архив, по всей видимости, распространялся несанкционированным образом среди бывших хакеров американского правительства и его подрядчиков, один из которых передал WikiLeaks часть этого архива.
Year Zero демонстрирует истинный масштаб и направление глобальной секретной хакерской программы ЦРУ, его арсенал вредоносных программ и десятки 0day-эксплойтов, которые применялись против широкого спектра американских и европейских устройств и продуктов, включая iPhone компании Apple, Android компании Google, Windows компании Microsoft и даже телевизоры компании Samsung, которые превращались в микрофоны для записи разговоров.
С 2001 года ЦРУ пользуется политическим и бюджетным преимуществом над Агентством национальной безопасности США. Стало известно, что ЦРУ создавало не только свой печально известный флот беспилотников, но и секретные силы мирового охвата совершенно иного рода: собственную многочисленную армию хакеров. Хакерский отдел ЦРУ освобождал это агентство от необходимости сообщать о своих зачастую противоречивых операциях АНБ (его главному бюрократическому сопернику), чтобы пользоваться хакерским потенциалом АНБ.
К концу 2016 года хакерский отдел ЦРУ, который формально входит в состав Центра киберразведки это агентства, насчитывал более 5 тысяч зарегистрированных пользователей и сумел создать более тысячи хакерских систем, троянов, вирусов и других вредоносных программ, превращенных в оружие. Масштабы операций этого отдела ЦРУ были настолько большими, что к 2016 году суммарный размер их вредоносных программ превысил размер кода, управляющего Facebook. Таким образом, ЦРУ создало свое собственное «АНБ», которое не отчитывалось практически ни перед кем, и агентству не потребовалось публично отвечать на вопрос о том, чем можно оправдать огромные расходы на содержание такой конкурирующей структуры.
В своем заявлении, направленном в WikiLeaks, источник пишет о тех вопросах, которые необходимо срочно вынести на публичное обсуждение, включая вопрос о том, не превышает ли хакерский потенциал ЦРУ те полномочия, которыми оно наделено, а также проблему общественного контроля над этим агентством. Источник хочет инициировать публичные дискуссии по вопросам безопасности, создания, использования, распространения и демократического контроля над кибероружием.
В том случае если агентство потеряет контроль над тем или иным киберорудием, оно распространится по всему миру в течение нескольких секунд и может быть использовано государствами-противниками, кибер-мафией и даже хакерами-подростками.
Редактор WikiLeaks Джулиан Ассанж (Julian Assange) заявил: «Существует большой риск распространения в сфере разработки кибероружия. Неконтролируемое распространение такого "оружия", проистекающее из невозможности сдерживать его и его высокой рыночной стоимости, можно сравнить с международной торговлей оружием. Однако значение Year Zero выходит далеко за рамки выбора между кибервойной и кибермиром. Эти утечки имеют исключительное значение с политической, правовой и экспертной точек зрения».
Wikileaks тщательно проанализировал Year Zero и опубликовал существенную часть документации ЦРУ, не допустив при этом распространения «боевого» кибероружия до момента возникновения консенсуса по поводу технической и политической природы программы ЦРУ и методики того, как такое «оружие» должно анализироваться, утилизироваться и публиковаться.
КОНТЕКСТ
Основатель WikiLeaks Джулиан Ассанж
Российские хакеры помогают Трампу
Haaretz25.07.2016
Wikileaks также принял решение отредактировать и обезличить идентифицирующую информацию в Year Zero для детального анализа. Среди данных, которые были вымараны, оказались данные о десятках тысяч атакующих и атакуемых систем в Латинской Америке, Европе и США. Хотя нам известно о небезупречности результатов любого подхода, мы сохраняем верность нашей издательской модели и отмечаем, что количество опубликованных страниц первой части «Vault 7» (Year Zero) уже превышает общее число страниц документов АНБ, переданных Wikileaks Эдвардом Сноуденом и опубликованных за первые три года.
Анализ
Вредоносные программы ЦРУ атакуют iPhone, Android и телевизоры SmartTV
Хакерские программы и инструменты ЦРУ создает так называемая Группа инженерных разработок (Engineering Development Group, EDG), работающая в составе Центра киберразведки, подчиняющегося Директорату цифровых инноваций (Directorate of Digital Innovation, DDI). DDI —это один из пяти основных директоратов современного ЦРУ.
EDG отвечает за разработку, испытания и операционную поддержку всех бэкдоров, эксплойтов, троянов, вирусов и других разновидностей вредоносных программ, используемых ЦРУ в его скрытых операциях по всему миру.
Нарастающая сложность технологий слежки вызывает в сознании образ 1984 года Джорджа Оруэлла, однако «Weeping Angel» («Плачущий ангел»), который был разработан Отделом интегрированных устройств (Embedded Devices Branch (EDB)) и который заражает телевизоры SmartTV, превращая их в скрытые микрофоны, является их самой яркой реализацией.
Атака на «умные» телевизоры компании Samsung была проведена в сотрудничестве с MI5/BTSS Соединенного Королевства. После заражения телевизора, «Weeping Angel» вводит его в состояние мнимого отключения, чтобы его владелец считал его выключенным, хотя на самом деле телевизор включен. В таком режиме телевизор выполняет функцию подслушивающего устройства, записывая разговоры в помещении и отправляя их по интернету на секретный сервер ЦРУ.
В октябре 2014 года ЦРУ пыталось найти способы заражать вредоносными программами системы контроля современных автомобилей и грузовиков. Цель установления такого контроля пока не ясна, однако это, возможно, позволило бы ЦРУ совершать убийства, которые невозможно раскрыть.
Отдел мобильных устройств (Mobile Devices Branch, MDB) разработал многочисленные программы для взлома и контроля над популярными смартфонами, открывающие доступ к данным геолокации, аудио и смс-сообщениям пользователя, а также скрытно активирующие их камеру и микрофон.
Несмотря на то, что доля iPhone на мировом рынке смартфонов не так велика (14,5%), специализированное подразделение в MDB создает вредоносные программы, позволяющие заражать, контролировать и похищать данные из iPhones и других продуктов компании Apple, на которых стоит iOS, таких как iPad.
В арсенал ЦРУ входит множество «уязвимостей нулевого дня», разработанных ЦРУ, позаимствованных у Центра правительственной связи, АНБ и ФБР или приобретенных у таких разработчиков кибероружия, как Baitshop. Такое внимание к системе iOS, возможно, объясняется популярностью iPhone среди представителей социальной, политической, дипломатической и деловой элиты.
Есть еще одно подразделение, которое специализируется на ОС Android компании Google, установленной в большинстве смартфонов мировых производителей, включая Samsung, HTC и Sony. В прошлом году в мире было продано 1,15 миллиарда смартфонов на базе ОС Android. Документы Year Zero показывают, что в 2016 году у ЦРУ уже было 24 «военизированных» 0day-эксплойта, которые оно разработало самостоятельно или приобрело у Центра правительственной связи, АНБ или у подрядчиков.
Эти технологии позволяют на системном уровне обходить защиту популярных «защищенных» мессенджеров, таких как Telegram, WhatsApp, Signal, Wiebo, Confide и Cloackman, взламывая смартфоны и похищая аудио- и текстовые сообщения еще до того, как они подверглись шифровке.
Вредоносные программы ЦРУ атакуют Windows, OSx, Linux, маршрутизаторы
ЦРУ также прикладывает массу усилий для того, чтобы заражать своими вредоносными программами и контролировать системы пользователей Microsoft Windows. Среди необходимых для этого инструментов можно назвать многочисленные местные и удаленные «военизированные» 0day-эксплойты, такие вирусы, как Hammer Drill, которые заражают данные, хранящиеся на CD/DVD, вирусы для USB-накопителей, программы для маскировки данных в файлах изображений и в скрытых областях жестких дисков (Brutal Kangaroo) и для обеспечения дальнейшего заражения.
Большую часть этих задач выполняет Отдел автоматизированных имплантатов (Automated Implant Branch, AIB), который разработал несколько атакующих систем для автоматического заражения и контроля, таких как Assassin («Убийца») и Medusa.
Атаками на инфраструктуру интернета и веб-серверы занимается Отдел сетевых устройств (Network Devices Branch, NDB.
ЦРУ разработал автоматизированные многоплатформенные системы для заражения и установление контроля над Windows, Mac OS X, Solaris, Linux и так далее, такие как HIVE и связанные с ней Cutthroat («Головорез») и Swindle («Махинатор»), которые описываются ниже.
«Накопленные» уязвимости ЦРУ («уязвимости нулевого дня»)
После разоблачений Эдварда Сноудена, касавшихся деятельности АНБ, американская технологическая индустрия взяла с администрации Обамы обещание сообщать в оперативном порядке производителям, таким как Apple, Google и Microsoft, обо всех обнаруженных серьезных уязвимостях, эксплойтах, багах и «уязвимостях нулевого дня».
Серьезные уязвимости, о которых не было сообщено производителям, подвергают огромное множество граждан и объектов ключевой инфраструктуры риску стать жертвами иностранной разведки или кибер-преступников, которые сами обнаружат эти уязвимости или услышат о них от других. Если ЦРУ может обнаружить эти уязвимости, то же самое могут сделать и остальные.
Введенные администрацией президента США Барака Обамы обязательства по раскрытию производителям устройств ключевых уязвимостей (Vulnerabilities Equities Process) стали результатом мощной лоббистской кампании американских технологических компаний, которые рискуют лишиться своей доли на мировом рынке из-за реальных и предполагаемых уязвимостей. Правительство пообещало сообщать обо всех обнаруженных им после 2010 года уязвимостях в оперативном порядке.
Документы Year Zero показывают, что ЦРУ нарушило обещание администрации Обамы. Множество уязвимостей, находящихся в арсенале ЦРУ, являются широко распространенными и могли быть обнаружены разведывательными агентствами других стран или киберпреступниками.
К примеру, одна из вредоносных программ ЦРУ, о которых говорится в Year Zero, способна проникать, заражать и контролировать и телефоны на базе ОС Android и программное обеспечение iPhone, с которых ведутся или велись президентские Twitter-аккаунты. ЦРУ атакует эти системы благодаря уязвимостям (нулевого дня), о которых ЦРУ не сообщило производителям. Но, если ЦРУ может взламывать эти телефоны, то же самое может сделать тот, кто каким-то образом обнаружит эту уязвимость. Пока ЦРУ скрывает эти уязвимости от Apple и Google, которые производят смартфоны, их невозможно устранить, и эти смартфоны можно будет взламывать и дальше.
Эти риски касаются населения в целом, включая членов администрации США, Конгресса, глав ведущих корпораций, системных администраторов, экспертов по безопасности и инженеров. Скрывая уязвимости от таких производителей, как Apple и Google, ЦРУ гарантирует себе возможность взламывать кого угодно, одновременно подвергая всех опасности быть взломанными.
Программы «кибервойны» несут в себе серьезный риск распространения кибероружия
Кибероружие невозможно держать под эффективным контролем.
В то время как распространение ядерного оружия получается сдерживать посредством огромных затрат и за счет масштабной инфраструктуры, кибероружие, как только оно было создано, крайне сложно контролировать.
Кибероружие представляет собой всего лишь компьютерные программы, которые можно украсть. Поскольку они целиком состоят из данных, их можно скопировать, не затратив при этом никаких усилий.
Сохранить такое «оружие» особенно трудно, потому что те люди, которые его разрабатывают и применяют, обладают всеми необходимыми навыками для того, чтобы скопировать его, не оставив следов — порой используя то же самое «кибероружие» против организаций, которые его предоставляют. Высокая цена таких программ — это мощный стимул для правительственных хакеров и консультантов, поскольку существует целый глобальный «рынок уязвимостей», где за копии такого кибероружия могут заплатить от нескольких сотен долларов до нескольких миллионов. Подрядчики и компании, получающие такое оружие порой используют его для своих собственных целей, приобретая преимущества над своими конкурентами в продаже «хакерских» услуг.
В последние три года разведывательный сектор США, состоящий из таких правительственных агентств, как ЦРУ и АНБ, и их подрядчиков, таких как Booz Allan Hamilton, становился жертвой беспрецедентного количества утечек, за которыми стояли их собственные сотрудники.
Несколько представителей разведывательного сообщества, чьи имена пока не раскрываются, уже были арестованы или подверглись уголовному преследованию.
Самым заметным случаем стал приговор, вынесенный Гарольду Мартину (Harold T. Martin), который был признан виновным по 20 пунктам, связанным с разглашением информации с ограниченным доступом. Министерство юстиций сообщило, что ему удалось перехватить у Гарольда Мартина 50 гигабайтов информации, к которой он имел доступ в ходе работы над секретными программами АНБ и ЦРУ, включая исходный код для множества хакерских инструментов.
Как только одно «киберорудие» выходит из-под контроля, оно может распространиться по всему миру в течение нескольких секунд, и им могут воспользоваться другие государства, кибермафия и даже хакеры-подростки.
Консульство США во Франкфурте — это тайная хакерская база ЦРУ
Помимо своей деятельности в Лэнгли, штат Вирджиния, ЦРУ также использует консульство США во Франкфурте-на-Майне в качестве секретной базы для хакеров, объектами которой являются Европа, Ближний Восток и Африка.
Хакерам ЦРУ, работающим с территории консульства во Франкфурте («Европейский центр кибернетической разведки» или CCIE), выдаются дипломатические («черные») паспорта и обеспечивается прикрытие госдепартамента США. Судя по тексту инструкций для хакеров-новичков, действия контрразведки Германии могут показаться несущественными: «Зная свою легенду наизусть, вы проходите через немецкую таможню быстро, и единственное, что они делают — это ставят штамп в вашем паспорте».
Ваша легенда (на время этой поездки)
Вопрос: С какой целью вы здесь находитесь?
Ответ: Участвую в проведении технических консультаций для консульства.
В двух предыдущих публикациях WikiLeaks предлагает более подробное описание методов, применяемых ЦРУ во время прохождения таможенного контроля и повторного досмотра.
Прибыв во Франкфурт, хакеры ЦРУ могут ездить без дополнительных проверок на границе в 25 европейских стран, входящих в Шенгенскую зону, в которой отменен паспортный и иммиграционный контроль на общих границах — в том числе во Францию, Италию и Швейцарию.
Некоторые методы электронной атаки, используемые ЦРУ, предназначены для работы в условиях непосредственной близости к объекту. Эти методы атаки позволяют проникать в сети с высоким уровнем защиты от несанкционированного доступа, которые отключены от интернета — например, базы данных полиции о судимостях и приводах. В этих случаях сотрудник или агент ЦРУ, либо сотрудник разведки ОВС НАТО, действующий в соответствии с инструкциями, в физическом смысле проникает в представляющую интерес компьютерную систему на рабочем месте. Злоумышленник имеет при себе USB-накопитель, содержащий вредоносную программу, разработанную для этой цели по заказу ЦРУ, которая вставляется в представляющий интерес компьютер. Затем злоумышленник заражает и немедленно скачивает данные на съемный носитель. Например, используемая Центральным разведывательным управлением система Fine Dining позволяет агентам ЦРУ использовать 24 приложения, которые служат маскировкой для отвлечения внимания присутствующих свидетелей. Этим свидетелям кажется, что агент запускает программу просмотра видеороликов (например, VLC), демонстрирует слайды (Prezi), играет в компьютерную игру (Breakout2, 2048) или даже прогоняет антивирусную программу (Касперский, McAfee, Sophos). Но пока «отвлекающее» приложение отображается на экране, происходит автоматическое заражение компьютерной системы, ее просмотр и извлечение информации.
Как ЦРУ резко повысило опасность распространения кибероружия
Для достижения своих целей, которые, безусловно, являются одними из самых потрясающих на памяти живущих, ЦРУ организовало свой секретный режим таким образом, что в целом, в плане рыночной ценности проекта «Vault 7» — вредоносного программного обеспечения, используемого Управлением в качестве инструмента для достижения этих целей (вложенные программы + уязвимости «нулевого дня»), посты перехвата информации (LP), а также системы управления и контроля (С2) — особых правовых механизмов (законных оснований) у ЦРУ нет.
То, почему ЦРУ решило не засекречивать свой киберарсенал, свидетельствует о том, что концепции, разработанные для использования в военных целях, довольно сложно применять на «полях сражений» в рамках кибернетической «войны».
Чтобы атаковать свои цели, ЦРУ, как правило, необходимо, чтобы его встроенные коды сообщались со своими программами управления через интернет. Если бы все программы, используемые ЦРУ — встроенные коды, С2 и посты перехвата информации — были засекречены, тогда сотрудников ЦРУ можно было бы привлекать к ответственности или увольнять за нарушение правил, запрещающих размещение секретной информации в интернете. Поэтому ЦРУ тайно решило не засекречивать большинство своих программ, используемых для ведения кибершпионажа/кибервойны. Правительство США не может сделать их предметом своего авторского права из-за ограничений, предусмотренных конституцией США. Это означает, что создатели кибероружия и компьютерные хакеры, получив доступ к этому «оружию», смогут свободно «пиратствовать», незаконно копируя его. Для защиты своих секретных вредоносных программ ЦРУ прежде приходилось прибегать к маскировке данных.
Обычные вооружения, такие как ракеты, можно запускать для нанесения удара по врагу (то есть, запускать на незащищенную территорию). Близкое расположение цели или контакт с ней создают условия для детонации и взрыва боеприпаса — в том числе и его секретной части. Следовательно, военные не нарушают требований секретности, стреляя боеприпасами, содержащими секретные детали. Боеприпас, скорее всего, взорвется. Если же нет, то это произойдет не по вине наводчика и против его желания.
В последнее десятилетие кибератаки, проводимые Соединенными Штатами, маскируют, используя военный жаргон, чтобы получить доступ к потокам финансирования, направляемым на нужды Министерства обороны. Например, предпринятые «инъекции вредоносных программ» (коммерческий жаргон) или «закладка программы» (жаргон АНБ) называют «обстрелами» — как если бы осуществлялась стрельба из орудий или пуск ракет. Однако такая аналогия весьма сомнительна.
В отличие от пуль, бомб или ракет, большинство вредоносных программ ЦРУ предназначены для того, чтобы «продолжать жить» в течение нескольких дней или даже лет после достижения своей «цели». Вредоносные программы ЦРУ не «взрываются», попав в цель, а, скорее, постоянно ее заражают. Для того чтобы заразить устройство, необходимо внедрить в это устройство несколько копий вредоносной программы, чтобы оно в физическом смысле полностью находилось в зависимости от этой вредоносной программы. Для того чтобы вредоносная программа смогла извлечь данные и направить их в ЦРУ или оставаться в ожидании дальнейших указаний, она должна иметь связь с системами управления и контроля, размещенными на серверах ЦРУ, подключенных к интернету. Но на таких серверах обычно секретную информацию хранить не разрешается, поэтому системы управления и контроля ЦРУ не засекречивает.
Успешная «атака» на представляющую интерес компьютерную систему похожа не столько на стрельбу с использованием систем вооружений, сколько на серию сложных маневров с активами в попытке рейдерского захвата или на осторожное распространение слухов в целях получения контроля над руководством организации. Если и можно провести сравнения с военными действиями, то поражение цели, пожалуй, сродни выполнению целой серии военных маневров вблизи территории этого объекта — включая наблюдение, проникновение, оккупацию и эксплуатацию.
Уклонение от экспертизы и действие в обход антивирусных программ
В ряде нормативов, разработанных ЦРУ, указаны схемы заражения вредоносной программой, которые могут помочь экспертам-криминалистам, а также специалистам Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens и компаний-разработчиков антивирусных программ описывать хакерские атаки и обеспечивать защиту от них.
В инструкции о методах проведения специальных мероприятий (Tradecraft DO's and DON'Ts) ЦРУ приводит правила написания вредоносных программ, позволяющие не оставлять идентификационных меток, дающих основание говорить о причастности «ЦРУ, правительства США, или его сознательно действующих партнеров» при проведении «судебно-криминалистической экспертизы». Похожие секретные нормативы прописаны для таких видов деятельности, как использование шифрования, чтобы скрыть следы хакера ЦРУ и факт распространения вредоносных программ, описание объектов атак и извлеченных данных, а также работа с полезными данными и присутствие в системах объекта в течение продолжительного периода.
Хакеры из ЦРУ разработали и осуществили успешные атаки в обход большинства из самых известных антивирусных программ. Они задокументированы в файлах AV defeats, Personal Security Products, Detecting and defeating PSPs и PSP/Debugger/RE Avoidance. Например, антивирусную программу Comodo удалось преодолеть путем внедрения вредоносной программы ЦРУ в «Корзину» в Windows — поскольку у Comodo 6.х есть уязвимость (Gaping Hole of DOOM).
Хакеры ЦРУ обсуждали, какую ошибку совершили хакеры группы Equation Group из АНБ, и как могли бы избежать подобных ошибок создатели вредоносных программ ЦРУ.
Примеры
В системе управления отдела технических разработок ЦРУ (EDG) содержится около 500 различных проектов (лишь некоторые из них обозначены «Нулевым годом»), в каждом из них есть свои субпроекты, хакерские программы и инструменты.
Большинство этих проектов относятся к инструментам, используемым для взломов, инфицирования («внедрения»), контроля и извлечения.
Другая линия разработки сосредоточена на развитии и деятельности Постов прослушивания (LP) и систем командования и контроля (С2), используемых для установления связи и контролирования имплантов; специальные проекты используются для того, чтобы атаковать особое оборудование от роутеров до умных телевизоров.
Некоторые примеры таких проектов приведены ниже. С полным списком описанных WikiLeaks в «Нулевом годе» проектов можно ознакомиться в оглавлении.
UMBRAGE
Неумелые хакерские приемы ЦРУ представляют для агентства проблему. Каждый созданный им прием образует своего рода «отпечаток пальца», который может использоваться судебными следователями для установления единого источника различных атак.
Это аналогично нахождению следов одного и того же особенного ножа на теле разных не связанных друг с другом жертв. Уникальный способ нанесения ран создает подозрение, что в убийствах замешан один и тот же убийца. Как только раскрывается одно из убийств в цепочке, другие убийства скорее всего также могут быть раскрыты.
Отделение удаленных устройств ЦРУ группа UMBRAGE собирает и хранит внушительную библиотеку техник нападения, «украденных» с хакерского оборудования, произведенного в других странах, в том числе в Российской федерации.
При помощи UMBRAGE и связанных с ним проектов ЦРУ может не только увеличить общее количество видов атак, но и увести след, оставляя «отпечатки» тех групп, чья техника была украдена.
Среди компонентов UMBRAGE имеются кейлоггеры, коллекция паролей, информация с вебкамер, уничтоженные данные, долговременное хранение, предоставление привилегий, обеспечение малозаметности, уход от антивирусных программ (PSP) и приемов наблюдения.
Fine Dining
Fine Dining имеет стандартную анкету, то есть меню, которое заполняют оперативники ЦРУ. Анкета используется Отделом технической поддержки агентства (OSB) для того, чтобы трансформировать запросы оперативников в технические требования для хакерских атак (обычно путем «изъятия» информации из компьютерных систем), необходимых для конкретных операций. Анкета позволяет OSB определить, как наладить существующие инструменты к операции, и передать эту информацию сотрудникам, отвечающим за конфигурацию хакерского программного обеспечения ЦРУ. OSB функционирует как соединение между оперативниками ЦРУ и соответствующими сотрудниками отдела технической поддержки.
В списке возможных целей в коллекции указаны «Сотрудник» («Asset»), «Связной» («Liason Asset»), «Системный администратор» («System Administrator»), «Операции по зарубежной информации» («Foreign Information Operations»), «Зарубежные разведывательные агентства» («Foreign Intelligence Agencies») и «Зарубежные правительственные учреждения» («Foreign Government Entities»). Стоит отметить отсутствие какой-либо информации об экстремистах или международных преступниках. «Оперативный сотрудник» также должен уточнить характеристики цели, например, тип компьютера, используемую информационную систему, интернет-связь, установленные антивирусные утилиты (PSP), а также список типов файлов, подлежащих изъятию, например, документы Office, аудио, видео, изображения или типы пользовательских файлов. В «меню» также требуется информация о том, возможен ли повторный доступ к цели и как долго может поддерживаться доступ к компьютеру, пока он не будет обнаружен. Эту информацию использует программное обеспечение «JQJIMPROVISE» (см. ниже) для конфигурации серии хакерских программ ЦРУ, соответствующих конкретным нуждам в рамках операции.
Improvise (JQJIMPROVISE)
«Improvise» — это набор инструментов для конфигурации, послеоперационной обработки, настройки полезной нагрузки и выбора вектора исполнения для инструментов исследования/извлечения, поддерживающих все основные операционные системы, такие как Windows (Bartender, «бармен»), MacOS (JukeBox, «музыкальный автомат») и Linux (DanceFloor, «танцпол»). Его конфигурационные утилиты, например, Margarita, позволяет NOC (Операционному центру сети) персонализировать инструменты, опираясь на требования анкет «Fine Dining».
HIVE
HIVE — это многоплатформный комплекс хакерского программного обеспечения ЦРУ и связанного с ним контролирующего программного обеспечения. Проект обеспечивает персонализируемые импланты для Windows, Solaris, MikroTik (используемые в интернет-роутерах), а также техническую базу для платформ Linux и Поста прослушивания (LP)/Системы командования и контроля (С2) для осуществления связи с этими имплантами.
Импланты сконфигурированы для связи с помощью HTTPS с сервером защитного домена; каждая операция с использованием этих имплантов имеет отдельный защитный домен, а техническая база может выдержать любое количество защитных доменов.
Каждый домен ведет к IP-адресу коммерческого провайдера VPS (виртуального частного сервера). Общедоступный сервер отсылает весь входящий трафик через VPN на сервер «Blot», который контролирует настоящие запросы соединения от клиентов. Это порядок для дополнительной SSL аутентификации клиента: если он отправляет действующий клиентский сертификат (а это могут сделать только импланты), связь передается тулсерверу «Honeycomb», связывающемуся с имплантом; если действующий сертификат не предоставляется (такое бывает, если кто-то пытается случайно открыть сайт с защитным доменом), то трафик направляется к защитному серверу, отправляющему на не вызывающий подозрений сайт.
Тулсервер Honeycomb получает изъятую информацию от импланта; оператор может также дать импланту задание исполнить работу на заданном в качестве цели компьютере, таким образом, тулсервер выполняет функцию сервера С2 (Системы командования и контроля) для импланта.
Подобный функционал (хоть и ограниченный Windows) обеспечивает проект RickBobby. См. секретные инструкции пользователя и разработчика для HIVE.
Часто задаваемые вопросы
Почему сейчас?
WikiLeaks опубликовал информацию, как только она была проверена и проанализирована.
В феврале администрация Трампа издала президентский указ, призывающий к подготовке доклада о «Кибервойне» в 30-дневный срок.
При том что доклад задерживается и обостряет важность публикации, он не повлиял на назначение даты выхода материала.
Обработка
Имена, адреса электронной почты и внешние IP-адреса были изменены в опубликованных страницах (всего 70875 изменений) до завершения анализа.
1. Иные поправки: редакции подверглась некоторая информация, не касающаяся сотрудников, исполнителей, целей и иных связей с агентством; например, она касалась авторов документации для иных общественных проектов, задействованных агентством.
2. Личность vs. человек: исправленные имена заменены пользовательскими ID (номерами), чтобы дать читателям возможность связать большие объемы страниц с одним автором. Учитывая примененную процедуру исправления, один человек может быть представлен более чем одним идентификатором, но идентификатор не может соответствовать более чем одному человеку.
3. Архивные приложения (zip, tar.gz,…) заменены PDF, где перечисляются все названия файлов в архиве. Как только контент архива будет проверен, он может быть доступен; до этого времени архив будет редактироваться.
4. Приложения с другим двухуровневым контентом заменены шестнадцатеричным дампом контента для предотвращения случайной активации маршрутов, которые могли быть заражены хакерскими программами ЦРУ. Как только контент будет проверен, он может стать доступен; до этого контент будет редактироваться.
5. Десятки тысяч ссылок на маршрутизируемые адреса (в том числе более 22 тысяч на территории США), соответствующих возможным целям, скрытым серверам прослушки ЦРУ, посредническим и тестовым системам редактируются для проведения дальнейшего эксклюзивного расследования.
6. Двухуровневые файлы непубличного происхождения доступны только как дампы для предотвращения случайной активации зараженных хакерскими программами ЦРУ файлов.
Организационная структура
Организационная структура соответствует материалу, который до нынешнего момента публиковался WikiLeaks.
С тех пор как организационная структура ЦРУ ниже уровня дирекций не является общедоступной, размещение EDG и его отделов в структуре агентства восстанавливается из информации, содержащейся в документах, которые были на данный момент опубликованы. Это может служить в качестве грубого абриса внутренней организации; просим вас иметь в виду, что реконструированная организационная структура представлена не полностью, а внутренние реорганизации происходят часто.
Wiki-страницы
«Year Zero» содержит 7818 веб-страниц из внутренних разработок группового программного обеспечения. Программное обеспечение, использованное для этих целей, называется Confluence и является собственностью Atlassian. У веб-страниц в этой системе (как и в Wikipedia) есть история версий, которые дают интересную возможность взглянуть на эволюцию документа во времени; 7818 документов включают в себя истории этих страниц с 1136 последними версиями.
Порядок названных страниц на каждом уровне определяется датой (первая — самая ранняя). Содержимое страницы отсутствует, если оно изначально было динамически создано программным обеспечением Confluence (как указано на реконструированной странице).
Какой временной период охвачен?
С 2013 по 2016 год. Порядок сортировки страниц внутри каждого уровня определяется при помощи даты (первая — самая отдаленная).
WikiLeaks получил дату создания/последнего обновления ЦРУ каждой страницы, но по техническим причинам эта информация еще не отображается. Обычно дату можно установить или приблизительно выявить из контента и порядка страниц. Если вам крайне важно знать точное время/дату, свяжитесь с WikiLeaks.
Что такое «Vault 7»?
«Vault 7» — это крупное собрание материала о деятельности ЦРУ, добытое WikiLeaks.
Когда были получены отдельные части «Vault 7»?
Первая часть была получена недавно и касается всего 2016 года. Подробности о других частях будут доступны ко времени публикации.
Получена ли каждая часть «Vault 7» из отдельного источника?
Подробности о других частях будут доступны ко времени публикации.
Каков общий объем «Vault 7»?
Эта серия — самая обширная публикация о разведагентстве за всю историю.
Как WikiLeaks получил каждую часть «Vault 7»?
Источники предпочитают, чтобы WikiLeaks не раскрывал информацию, которая может способствовать их идентификации.
Не беспокоится ли WikiLeaks, что ЦРУ будет принимать меры против его сотрудников, чтобы остановить публикацию этой серии?
Нет. Это будет крайне контрпродуктивно.
WikiLeaks уже собрал все лучшие сюжеты?
Нет. WikiLeaks намеренно не завышал значения сотен громких историй, стимулируя других людей находить их и задавая, таким образом, экспертную планку для следующих публикаций в серии. Вот они. Взгляните. Читатели, которые продемонстрируют превосходные журналистские навыки, могут получить более ранний доступ к будущим частям.
Не опередят ли меня другие журналисты в поиске лучших сюжетов?
Навряд ли. Существует гораздо больше сюжетов, чем журналистов и академиков, способных писать о них.
П.С. Судя по размаху применяемых инструментов и процедур -- не застрахованы ни банковские вклады, ни обьекты критической инфраструктуры.
Здравствуйте, национальные операционные системы. прощайте "облака" и системы удаленной работы с документами. Сколько сил было потрачено на то, чтобы убедить клиента в полной безопасности хранения котиков на удаленном сервере... Грандиозный шухер, как по мне.
Оценили 2 человека
4 кармы