Vault 7

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 02:46, 18 июня 2019.
Vault 7
Выпущена: 7 марта 2017
Локализация: Английский
Веб-сайт https://wikileaks.org/ciav7p1/index.html

Vault 7 - это крупнейшая публикация конфиденциальных документов ЦРУ. Во вторник, 7 марта 2017 года, WikiLeaks начинает публикации новой серии утечек в Центральном разведывательном управлении США. Первая часть серии, вышедшая под именем «Нулевой год», содержит 8 761 документ и файл из изолированной сети с высоким уровнем безопасности, расположенной внутри Центра киберразведки ЦРУ в Лэнгли, штат Вирджина.

Всего WikiLeaks было опубликованной пять порций документов, в которых содержится описание глобальной программы ЦРУ США по взлому электронных устройств.[Источник 1]

Вредоносное ПО направленое на iPhone, Android, умные телевизоры Samsung

Вредоносные и хакерские инструменты ЦРУ были созданы группой инженерного развития (Engineering Development Group), группой разработки программного обеспечения CCI (Центр кибер-аналитики), отделом цифровых инноваций ЦРУ (DDI).

EDG отвечает за разработку, тестирование и поддержку всех бэкдоров, эксплойтов, вредоносных программ, троянов, вирусов и любых других видов вредоносных программ, используемых ЦРУ в своих секретных операциях по всему миру.

Программа под кодовым названием Weeping Angel проводящая атаку на смарт-телевизоры Samsung была разработана в сотрудничестве с британской службой MI5 / BTSS. После заражения Weeping Angel переводит целевой телевизор в режим «Fake-Off», так что владелец ложно полагает, что телевизор выключен, когда он включен. В режиме «Fake-Off» телевизор работает в фоновом режиме, записывая разговоры в комнате и отправляя их через Интернет на секретный сервер ЦРУ.[Источник 2]

По состоянию на октябрь 2014 года ЦРУ также рассматривало возможность заражения систем управления транспортными средствами, используемых современными легковыми и грузовыми автомобилями. Цель такого контроля не указана, но это позволило бы ЦРУ участвовать в почти не обнаруживаемых убийствах.[Источник 3]

Подразделение мобильных устройств ЦРУ (MDB) разработало множество атак для удаленного взлома и управления популярными смартфонами. Зараженные телефоны могут быть проинструктированы отправлять в ЦРУ геолокацию пользователя, аудио- и текстовые сообщения, а также тайно активировать камеру и микрофон телефона.[Источник 4]

Несмотря на незначительную долю iPhone (14,5%) на мировом рынке смартфонов в 2016 году, специализированное подразделение в отделе разработки мобильных приложений ЦРУ производит вредоносное ПО для заражения, контроля и фильтрации данных с iPhone и других продуктов Apple, работающих на iOS, таких как iPad. Арсенал ЦРУ включает в себя многочисленные локальные и удаленные "уязвимости нулевого дня", разработанные ЦРУ или полученные от GCHQ, NSA, FBI или приобретенные у подрядчиков по кибер-оружию, таких как Baitshop. Несоразмерный акцент на iOS можно объяснить популярностью iPhone среди социальной, политической, дипломатической и бизнес-элиты.[Источник 5][Источник 6]

Аналогичное устройство предназначено для Android от Google, который используется для запуска большинства смартфонов в мире (~ 85%), включая Samsung, HTC и Sony. [Источник 7][Источник 8]

Эти методы позволяют ЦРУ обходить шифрование WhatsApp, Signal, Telegram, Wiebo, Confide и Cloackman, взламывая «умные» телефоны, на которых они работают, и собирая трафик аудио и сообщений перед применением шифрования.

Вредоносное ПО направленное на Windows, OSx, Linux, маршрутизаторы

ЦРУ предпринимает очень существенные усилия для заражения и контроля пользователей Microsoft Windows с помощью вредоносного ПО. Это включает в себя несколько локальных и удаленных «уязвимостей нулевого дня», вирусы, прыгающие через "воздушный зазор", такие как «Hammer Drill», заражающие программное обеспечение, распространяемое на CD / DVD, заражающие устройства для сменных носителей, таких как USB, системы для скрытия данных в изображениях или в скрытых областях диска ("Brutal Kangaroo") и для того, чтобы поддерживать распространение вредоносных программ.[Источник 9][Источник 10][Источник 11][Источник 12][Источник 13][Источник 14]

Многие из этих усилий по заражению объединены ЦРУ в отделе автоматизированных имплантов (Automated Implant Branch), который разработал несколько систем атак для автоматического заражения и контроля вредоносных программ ЦРУ, таких как «Assassin» и «Medusa».[Источник 15]

Атаки на интернет-инфраструктуру и веб-серверы разрабатываются Отделом сетевых устройств ЦРУ (Network Devices Branch).

ЦРУ разработало автоматизированные многоплатформенные системы защиты от вредоносных программ и управления ими, охватывающие Microsoft Windows, Mac OS X, Solaris, Linux и другие.

Отдел инженерного развития (EDG) разработал около 500 различных проектов (только некоторые из которых задокументированы в «Нулевом году») с их собственными подпроектами, вредоносными программами и хакерскими инструментами.

Большинство из этих проектов связаны с инструментами, которые используются для проникновения, заражения, контроля и эксфильтрации.

Другая ветвь разработки фокусируется на разработке и эксплуатации систем «Прослушивающих сообщения» (LP) и систем командования и управления (C2), используемых для связи с имплантатами ЦРУ и контроля над жертвами; специальные проекты используются для таргетинга на конкретное оборудование от маршрутизаторов до смарт-телевизоров.

Полный список известных проектов представлен на сайте WikiLeaks.[Источник 16]

Уявимости нулевого дня накопленные ЦРУ

Вслед за утечками Эдварда Сноудена о хhttps://ru.wikipedia.org/wiki/Агентство_национальной_безопасности АНБъ американская индустрия технологий заявила о своей приверженности администрации Обамы и о том что исполнительная власть будет обязана сообщать на постоянной основе, а не накапливать и держать в тайне серьезные уязвимости, эксплойты, или ошибки обнаруженные в устройствах Apple, Google, Microsoft и других американских производителей.

Серьезные уязвимости, не разглашаемые производителям, ставят под угрозу огромные массы населения и критически важную инфраструктуру для иностранной разведки или киберпреступников, которые самостоятельно обнаруживают или слышат слухи об этой уязвимости. Если ЦРУ может обнаружить такие уязвимости, то могут и другие.

Приверженность правительства США процессу обеспечения равных возможностей уязвимостей возникла после значительного лоббирования со стороны американских технологических компаний, которые рисковали потерять свою долю на мировом рынке из-за реальных и предполагаемых скрытых уязвимостей. Правительство заявило, что оно будет постоянно раскрывать все распространенные уязвимости, обнаруженные после 2010 года.[Источник 17]

Документы "Нулевого года" показывают, что ЦРУ нарушило обязательства администрации Обамы. Многие из уязвимостей, используемых в кибер-арсенале ЦРУ, широко распространены, и некоторые из них, возможно, уже были обнаружены конкурирующими спецслужбами или киберпреступниками.

Например, конкретное вредоносное ПО ЦРУ, раскрытое в «Нулевом году», способно проникать, заражать и контролировать как программное обеспечение телефона Android, так и iPhone, которое запускает или использует президентские учетные записи Twitter. ЦРУ атакует это программное обеспечение, используя нераскрытые уязвимости безопасности («нулевые дни»), которыми обладает ЦРУ, но если ЦРУ может взломать эти телефоны, то могут и все остальные, кто получил или обнаружил уязвимость. Пока ЦРУ скрывает эти уязвимости от Apple и Google, они не будут исправлены, и телефоны останутся незащищенными.

Те же самые уязвимости существуют для населения в целом, включая кабинет министров США, Конгресс, высших руководителей, системных администраторов, сотрудников служб безопасности и инженеров. Скрывая эти недостатки безопасности от таких производителей, как Apple и Google, ЦРУ гарантирует, что сможет взломать каждого за счет того, что все будут уязвимы.

Причины утечки

Кибер «оружие» невозможно держать под эффективным контролем. В отличие от ядерного оружия, распространение которого сдерживается огромными затратами и видимой инфраструктурой, связанной со сборкой достаточного количества расщепляющегося материала для производства критической ядерной массы, кибер-оружие, когда-то разработанное, очень трудно сохранить.

Кибер-оружие - на самом деле просто компьютерные программы. Поскольку они полностью состоят из информации, их можно быстро скопировать без каких-либо предельных затрат.

Контролировать такое «оружия» особенно сложно, поскольку те же самые люди, которые его разрабатывают и используют, обладают навыками для удаления копий, не оставляя следов, - иногда используя то же самое «оружие» против организаций, которые его содержат. Правительственные хакеры и консультанты получают значительные ценовые стимулы для получения копий, поскольку существует глобальный «рынок уязвимости», который будет платить от сотен тысяч до миллионов долларов за копии такого «оружия». Точно так же подрядчики и компании, которые получают такое «оружие», иногда используют его в своих целях, получая преимущество над своими конкурентами в продаже «хакерских» услуг.

В течение последних трех лет разведывательный сектор Соединенных Штатов, состоящий из правительственных учреждений, таких как ЦРУ и АНБ, и их подрядчиков, таких как Booz Allan Hamilton, подвергся беспрецедентной серии операций по сбору данных своими собственными работниками.

Ряд членов разведывательного сообщества, еще не названных публично, были арестованы или подвергнуты федеральным уголовным расследованиям в отдельных инцидентах.

Наиболее яркий из них произошел 8 февраля 2017 года. Федеральное большое жюри США предъявило обвинение Гарольду Т. Мартину III в 20 случаях неправильного обращения с секретной информацией. Министерство юстиции заявило, что оно изъяло около 50 000 гигабайт информации у Гарольда Т. Мартина III, которую он получил из секретных программ АНБ и ЦРУ, включая исходный код для многочисленных хакерских утилит.

Как только одно кибернетическое «оружие» становится «незакрепленным», оно может распространиться по всему миру за считанные секунды, чтобы его могли использовать как союзники, так и кибермафия и подростковые хакеры.[Источник 18]

Тайная хакерская база ЦРУ во Франкфурте

В дополнение к своим операциям в Лэнгли, штат Вирджиния, ЦРУ также использует консульство США во Франкфурте в качестве скрытой базы для своих хакеров, охватывающее Европу, Ближний Восток и Африку.

Хакерам ЦРУ, действующим за пределами консульства Франкфурта («Центр кибер-разведки в Европе» или CCIE), выдаются дипломатические паспорта и обеспечивается защита Госдепартамента.[Источник 19]

Две более ранние публикации WikiLeaks дают дополнительную информацию о подходах ЦРУ к таможенным процедурам и процедурам вторичной проверки.[Источник 20]

Оказавшись во Франкфурте, хакеры ЦРУ могут путешествовать без дополнительных пограничных проверок в 25 европейских стран, которые являются частью открытой границы Шенгенской зоны - включая Францию, Италию и Швейцарию. [Источник 21]

Некоторые методы электронной атаки ЦРУ предназначены для физической работы с жертвой. Эти методы атаки позволяют проникать в сети с высоким уровнем безопасности, которые отключены от Интернета, такие как база данных полицейских записей. В этих случаях сотрудник ЦРУ, агент или сотрудник разведки союзников, действующий в соответствии с инструкциями, физически проникает на целевое рабочее место. Злоумышленнику предоставляется вредоносное USB-устройство, разработанное для этой цели в ЦРУ, которое вставляется в целевой компьютер. Затем злоумышленник заражает данные и удаляет их со съемного носителя. Например, система атаки ЦРУ Fine Dining предоставляет 24 приложения-маскировщика для использования шпионами ЦРУ. По словам свидетелей, шпион запускает программу, которая показывает видео, запускает показ слайдов, играет в компьютерную игру или даже запускает фальшивый антивирусный сканер. Но пока результат работы приложения-маскировщика находится на экране, система автоматически заражается и подвергается обыску.[Источник 22]

Стандарты написания вредоносного ПО от ЦРУ

В ряде документов изложены модели заражения вредоносными программами ЦРУ, которые, вероятно, помогут следователям на местах проведения криминалистических расследований, а также Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens и антивирусные компаниям, которые обеспечивают защиту девайсов от атак.

«Tradecraft DO's and DON'Ts» содержит правила ЦРУ о том, как следует писать свою вредоносную программу, чтобы избежать обнаружения "отпечатков пальцев". Подобные секретные стандарты охватывают использование шифрования для сокрытия хакерских атак ЦРУ и связи с вредоносным ПО, описания целей и отфильтрованных данных, а также выполнения полезных нагрузок и сохранения на машинах цели с течением времени.[Источник 23][Источник 24][Источник 25][Источник 26]

Хакеры ЦРУ разработали действующие модели атак на большинство известных антивирусных программ. Например, Comodo был побежден вредоносной программой ЦРУ, помещающей себя в «Корзину» Windows.[Источник 27]

«Umbrage»

Методы взлома, разработанные ЦРУ, имеют одну общую проблему. Каждая созданная ЦРУ вредоносная программа оставляет типичный «отпечаток», который может использоваться судебными следователями для приписывания нескольких разных атак одному и тому же объекту.

Группа UMBRAGE отделения удаленных устройств ЦРУ собирает и поддерживает обширную библиотеку методов атаки (а следовательно и характерных "отпечатков" оставляемых этими методами), «украденных» из вредоносных программ, созданных в других странах, включая Российскую Федерацию.[Источник 28][Источник 29]

Благодаря Umbrage ЦРУ может не только увеличить общее количество типов атак, но и ошибочно приписать атрибуцию, оставив после себя «отпечатки пальцев» групп, из которых были украдены методы атаки.

Компоненты UMBRAGE охватывают кейлоггеры, сбор паролей, захват веб-камеры, уничтожение данных, повышение привилегий, шифрование и обход антивируса.[Источник 30]

Источники

  1. Публикация крупнейшей утечки данных ЦРУ WikiLeaks. Дата обновления: 07.03.2017. URL: https://www.rbc.ru/politics/07/03/2017/58bed11b9a794728766a9365 (дата обращения: 18.06.2019).
  2. Атака направленная на smart телевизоры Samsung. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_12353643.html (дата обращения: 18.06.2019).
  3. Заражение систем управления транспортными средствами. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_13763790.html (дата обращения: 18.06.2019).
  4. Подразделение мобильных устройств ЦРУ. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/space_3276804.html (дата обращения: 18.06.2019).
  5. Контроль смартфонов на базе iOS. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/space_2359301.html (дата обращения: 18.06.2019).
  6. Уязвимости нулевого дня iOS. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_13205587.html (дата обращения: 18.06.2019).
  7. Контроль устройств на базе Android. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/space_11763721.html (дата обращения: 18.06.2019).
  8. Зараженные телефоны на базе Android. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_11629096.html (дата обращения: 18.06.2019).
  9. Вредоносное ПО направленное на заражение и контроль пользователей Windows. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_11628612.html (дата обращения: 18.06.2019).
  10. Hammer Drill. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_17072172.html (дата обращения: 18.06.2019).
  11. Вредоносное ПО заражающее съемные носители. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_13762636.html (дата обращения: 18.06.2019).
  12. Системы для скрытия данных в изображениях или в скрытых областях диска. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_13763247.html (дата обращения: 18.06.2019).
  13. Brutal Kangaroo. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_13763236.html (дата обращения: 18.06.2019).
  14. Поддержка распространения вредоносных программ. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_13763650.html (дата обращения: 18.06.2019).
  15. Отдел автоматизированных имплантов. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/space_3276805.html (дата обращения: 18.06.2019).
  16. Опубликованные проекты, вредоносные программы и хакерские инструменты. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/index.html (дата обращения: 18.06.2019).
  17. Проблема общедоступности уязвимостей нулевого дня. Дата обновления: 07.03.2017. URL: https://jia.sipa.columbia.edu/online-articles/healey_vulnerability_equities_process (дата обращения: 18.06.2019).
  18. Кибер оружие невозможно контролировать. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/index.html (дата обращения: 18.06.2019).
  19. Центр кибер-разведки в Европе. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_20251151.html (дата обращения: 18.06.2019).
  20. Подход ЦРУ к таможенным процедурам и процедурам вторичной проверки. Дата обновления: 21.12.2014. URL: https://wikileaks.org/cia-travel/ (дата обращения: 18.06.2019).
  21. Инструкции для хакеров работающих на территориях других государств. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_26607630.html (дата обращения: 18.06.2019).
  22. Система атаки "Fine Dining". Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_20251107.html (дата обращения: 18.06.2019).
  23. Tradecraft DO's and DON'Ts. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_14587109.html (дата обращения: 18.06.2019).
  24. Стандарты ЦРУ описывающие использование шифрования для сокрытия хакерских атак и связи с вредоносным ПО. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/files/NOD%20Cryptographic%20Requirements%20v1.1%20TOP%20SECRET.pdf (дата обращения: 18.06.2019).
  25. Стандарты ЦРУ описания целей и отфильтрованных данных. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/files/Codex-Spec-v1-SECRET.pdf (дата обращения: 18.06.2019).
  26. Стандарты ЦРУ описывающие выполнение полезных нагрузок и сохранение на машинах цели с течением времени. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/files/ICE-Spec-v3-final-SECRET.pdf (дата обращения: 18.06.2019).
  27. Метод обхода антивируса Comodo разработанный ЦРУ. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_5341269.html (дата обращения: 18.06.2019).
  28. Библиотека методов атаки Umbrage. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_2621753.html (дата обращения: 18.06.2019).
  29. Отделение удаленных устройств ЦРУ. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/space_753668.html (дата обращения: 18.06.2019).
  30. Umbrage group. Дата обновления: 07.03.2017. URL: https://wikileaks.org/ciav7p1/cms/page_2621751.html (дата обращения: 18.06.2019).