ЦРУ украло троян у «русских хакеров»

WikiLeaks рассказал о Grasshopper Ресурс WikiLeaks опубликовал очередной пакет секретных документов Центрального разведывательного управления (ЦРУ) США, который содержит 27 файлов. Публикация состоялась в рамках проекта Vault 7, посвященного действиям ЦРУ в сфере кибербезопасности. Новые документы рассказывают о платформе Grasshopper – инструменте для создания вредоносного ПО для взлома ОС Windows. Grasshopper содержит набор модулей, из которых можно собрать настраиваемый вирус-имплантант. Модель поведения вируса задается в зависимости от характеристик компьютера жертвы. Перед внедрением имплантанта целевой компьютер исследуется на предмет того, какая на нем установлена версия Windows и какое используется защитное ПО. Если эти параметры подходят вирусу, он инсталлируется на устройство. При установке имплантант остается невидимым для таких известных антивирусных программ как MS Security Essentials, Rising, Symantec Endpoint и Kaspersky Internet Security. Заимствование у российских хакеров Один из механизмов устойчивости Grasshopper носит название Stolen Goods. Согласно документации, основой для этого механизма послужила программа Carberp – вредоносное ПО для взлома банковских сетей. Предположительно, Carberp был разработан российскими хакерами, гласят документы ЦРУ. Заимствование кода Carberp стало возможным благодаря тому, что он был выложен в открытом доступе. ЦРУ утверждает, что «большая часть» кода им не пригодилась, однако механизм сохранения устойчивости и некоторые компоненты инсталлятора были взяты на вооружение и модифицированы для нужд ведомства. http://filearchive.cnews.ru/img/zoom/2017/04/10/cia600.jpg"> Часть хакерского арсенала ЦРУ позаимствована у различных преступных группировок WikiLeaks вообще уделяет большое внимание тому факту, что специалисты ЦРУ при создании своих инструментов регулярно используют вредоносное ПО, разработанное в криминальном мире. Об этом свидетельствуют и другие документы – например, утекшие материалы итальянской кибергруппы HackingTeam. Эта группа создает шпионское ПО для различных госведомств. Публикация документов Marble Документация Grasshopper – это четвертая по счету публикация WikiLeaks, осуществленная в рамках проекта Vault 7. Третья, увидевшая свет 31 марта, была посвящена инструменту Marble и насчитывала 676 файлов с его кодом. Программа Marble была создана в 2015 г. и использовалась ЦРУ в 2016 г. С ее помощью ведомство сбивало со следа ИБ-специалистов, которые расследовали хакерские атаки управления. Задача Marble заключалась в том, чтобы прятать текстовые фрагменты вредоносных программ ЦРУ при визуальном осмотре. WikiLeaks сравнивает действие Marble с практикой маскировать английские надписи на оружии, которое ведомство поставляет неофициально поддерживаемым боевикам. Marble проводит обфускацию кода, сохраняя при этом возможность вернуть его в прежнее состояние. Наличие де-обфускатора дает шанс следствию все же выявить причастность ЦРУ к исследуемой атаке, пишет WikiLeaks. Однако работу ИБ-специалистов усложняет то, что Marble работает не только с английским языком, но и с китайским, русским, корейским, арабским и фарси. Это позволяет ЦРУ разыгрывать довольно сложные комбинации: например, представить дело так, будто разработчики вредоносного ПО использовали китайский язык, а потом постарались это скрыть. Такая тактика вводит следствие в еще более глубокое заблуждение. О проекте Vault 7 В начале марта 2017 г. ресурс WikiLeaks приступил к публикации массива утекших документов ЦРУ, которые попали в руки владельцев сайта. Проект получил название Vault 7. По объему и значимости его сравнивают с разоблачениями [b]Эдварда Сноудена[/b] (Edward Snowden) в 2013 г. Первый опубликованный пакет данных Vault 7 называется Year Zero и содержит более 8,7 тыс. файлов. В них, помимо прочего, [url=http://safe.cnews.ru/news/top/2017-03-24_tsru_uzhe_10_let_proslushivaet_iphone_i_mac]описаны[/url] различные инструменты, которые ведомство уже около 10 лет использует для взлома iPhone и Mac. Некоторые из них устанавливаются на продукты Apple, как только они сходят с конвейера, для чего ЦРУ перехватывает поставки. Сама Apple заявляет, что все уязвимости, описанные в Dark Matter, давно устранены. [url=http://www.cnews.ru/news/top/2017-04-10_tsru_obokralo_rossijskih_hakerov] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/zoom/2017/04/10/cia600.jpg"> Часть хакерского арсенала ЦРУ позаимствована у различных преступных группировок WikiLeaks вообще уделяет большое внимание тому факту, что специалисты ЦРУ при создании своих инструментов регулярно используют вредоносное ПО, разработанное в криминальном мире. Об этом свидетельствуют и другие документы – например, утекшие материалы итальянской кибергруппы HackingTeam. Эта группа создает шпионское ПО для различных госведомств. Публикация документов Marble Документация Grasshopper – это четвертая по счету публикация WikiLeaks, осуществленная в рамках проекта Vault 7. Третья, увидевшая свет 31 марта, была посвящена инструменту Marble и насчитывала 676 файлов с его кодом. Программа Marble была создана в 2015 г. и использовалась ЦРУ в 2016 г. С ее помощью ведомство сбивало со следа ИБ-специалистов, которые расследовали хакерские атаки управления. Задача Marble заключалась в том, чтобы прятать текстовые фрагменты вредоносных программ ЦРУ при визуальном осмотре. WikiLeaks сравнивает действие Marble с практикой маскировать английские надписи на оружии, которое ведомство поставляет неофициально поддерживаемым боевикам. Marble проводит обфускацию кода, сохраняя при этом возможность вернуть его в прежнее состояние. Наличие де-обфускатора дает шанс следствию все же выявить причастность ЦРУ к исследуемой атаке, пишет WikiLeaks. Однако работу ИБ-специалистов усложняет то, что Marble работает не только с английским языком, но и с китайским, русским, корейским, арабским и фарси. Это позволяет ЦРУ разыгрывать довольно сложные комбинации: например, представить дело так, будто разработчики вредоносного ПО использовали китайский язык, а потом постарались это скрыть. Такая тактика вводит следствие в еще более глубокое заблуждение. О проекте Vault 7 В начале марта 2017 г. ресурс WikiLeaks приступил к публикации массива утекших документов ЦРУ, которые попали в руки владельцев сайта. Проект получил название Vault 7. По объему и значимости его сравнивают с разоблачениями Эдварда Сноудена (Edward Snowden) в 2013 г. Первый опубликованный пакет данных Vault 7 называется Year Zero и содержит более 8,7 тыс. файлов. В них, помимо прочего, описаны различные инструменты, которые ведомство уже около 10 лет использует для взлома iPhone и Mac. Некоторые из них устанавливаются на продукты Apple, как только они сходят с конвейера, для чего ЦРУ перехватывает поставки. Сама Apple заявляет, что все уязвимости, описанные в Dark Matter, давно устранены. Ссылка на источник