Как стать автором
Обновить

WikiLeaks опубликовала документацию ЦРУ по заражению физически изолированных компьютеров

Время на прочтение 3 мин
Количество просмотров 20K


22 июня 2017 года сайт WikiLeaks опубликовал документы проекта ЦРУ под названием Brutal Kangaroo. Это набор инструментов под Windows, предназначенных для заражения физически изолированных компьютеров, которые отключены от интернета (air gap), с помощью флешек. Информация относительно свежая: документация программы датируется 23 февраля 2016 года.

Физическая изоляция (air gap) — одна из мер обеспечения безопасности, когда защищённая компьютерная сеть физически изолируется от небезопасных сетей и интернета. В этом случае для компьютера снаружи сети нет никакой возможности установить связь с компьютером внутри неё. Для разведывательных организаций такие системы представляют определённую проблему. Во-первых, усложняется процесс установки шпионского программного обеспечения на такие компьютеры: нужно доставить на них флешку. Во-вторых, усложняется съём информации с заражённого компьютера, если он физически изолирован.

В документации указано, что проект Brutal Kangaroo состоит из следующих компонентов:

  • Drifting Deadline: инструмент заражения флешки.
  • Shattered Assurance: серверный инструмент, который отслеживает процесс автоматизированного заражения флешек, также основной способ распространения набора Brutal Kangaroo. Для заражения отдельных флешек используется программа Drifting Deadline.
  • Broken Promise: постпроцессор Brutal Kangaroo.
  • Shadow: основной механизм присутствия. Это инструмент стадии 2, который распространяется внутри закрытой сети и работает как скрытая CnC-сеть.

Для работы Brutal Kangaroo на компьютере должен быть установлен .Net 4.5.

В программе Drifting Deadline пользователь выбирает вектор исполнения вредоносного кода с флешки: это может быть x86 и x64 DLL, которая автоматически загружается в проводнике или файл .lnk, настройка autorun.inf. Вредоносная нагрузка может внедряться напрямую в процесс explorer.exe (в 32-битных ОС) или svchost (в 64-битных) и никогда не записываться на диск. Как вариант, можно не устанавливать вектора автоматического исполнения, а оставить только исполняемый файл, который жертва должна будет запустить вручную.

На флешке затем нужно разместить три служебных файла Drifting Deadline. Пользователь выбирает, в каком формате их разместить: файлам можно присвоить произвольные названия или применить сжатый формат, когда они сжимаются в один файл с произвольным названием. В последнем случае файлы сжимаются в один криптоблоб.



Далее разведчик выбирает шпионские модули, которые будут записаны на флешку, и указывает, какую информацию в системе жертве нужно собирать и записывать на флешку. Создаётся маска для собираемых файлов. Здесь же указывается максимальный объём информации для сбора и минимальный процент свободного пространства на флешке, который должен остаться (вероятно, чтобы не вызвать подозрений). Указывается формат записи для собранной информации. Например, всё можно записывать в существующий файл (например, jpg или png) или напрямую потоком данных в NTFS, что будет скрыто от просмотра. Указывается максимальное количество запусков шпионского модуля, условия запуска (например, только при авторизации администратора в системе), процессы «чёрного списка», при которых запуск отменялся, и т. д. Все выбранные установки конфигурации сохраняются в файл XML. После этого можно осуществлять процедуру инфицирования флешки.



Brutal Kangaroo поддерживает такой режим работы: если «первичный хост» доступен через интернет, то агент ЦРУ заражает его в дистанционном режиме, а флешка уже инфицируется автоматически с этого компьютера. Предполагается, что ничего не подозревающая жертва достанет флешку — и унесёт её на физически изолированный компьютер, а затем принесёт обратно. В этом случае все собранные данные, сохранённые на флешке, будут переправлены агенту ЦРУ.

Интересно, что в документах рассматриваются некоторые проблемы, связанные с использованием шпионской программы. Например, указано, что антивирусы показывают предупреждающее сообщение, если с флешки автоматически запускается программное обеспечение, когда её вставляют в компьютер. В то же время отмечается низкий уровень распознавания антивирусами самих рабочих файлов программы.

В опубликованной подборке 11 документов, которые созданы с 2012 по 2016 года. Там же документация по предыдущим инструментам, вместо которых используется Drifting Deadline. Разработчиком инструментов указано подразделение ЦРУ Engineering Development Group. Это подразделение входит в состав управления DDI (Directorate for Digital Innovation), см. организационную диаграмму ЦРУ. Оно занимается разработкой, тестированием и сопровождением всего программного обеспечения ЦРУ. Здесь же разработали многие другие эксплойты, информацию о которых раньше публиковал WikiLeaks, в том числе эксплойт для телевизоров Samsung под названием Weeping Angel, который добавляет телевизору режим 'Fake-Off', когда телевизор выглядит выключенным, но в то же время записывает разговоры в комнате и отправляет их через интернет на сервер ЦРУ.
Теги:
Хабы:
+14
Комментарии 22
Комментарии Комментарии 22

Публикации

Истории

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн