Новый троян ЦРУ мешает работать пользователям PowerPoint, «потому что они этого заслуживают!»

Полуночные гремлины Wikileaks в рамках своей кампании Vault 7 опубликовала еще два хакерских инструмента, созданных в ЦРУ, - AfterMidnight и Assassin. Оба представляют серьезную степень угрозы, хотя и довольно просты по сути. Помимо самих инструментов, опубликована и документация к ним. Фреймворк AfterMidnight, согласно его описанию, создан не столько для причинения вреда или кражи данных, сколько для причинения мелких неудобств пользователю. По своей сути, это бэкдор, который устанавливается в систему в виде файла DLL, после чего начинает закачивать на зараженный компьютер модули, носящие характерное название «гремлины» (Gremlins, Gremlinware). Как и полагаются гремлинам, те начинают разными способами досаждать пользователю, дестабилизируя нормальную работу установленных в системе программ. В описании вредоносного фреймворка говорится: «Гремлин может нарушать выполнение существующих или запускаемых процессов несколькими раздражающими способами: либо задерживать их выполнение, либо останавливая процессы, либо подвешивая их так, что пользователю приходится отключать их вручную». Можно задавать регулярность подобного вмешательства в нормальную работу и определять, какое количество процессов будут атакованы «гремлином». http://filearchive.cnews.ru/img/news/2017/05/17/cia600.jpg"> «Гремлин», разработанный ЦРУ, каждые 30 секунд подвешивают PowerPoint, Internet Explorer и Firefox В документации приводятся два примера использования «гремлинов». Один из них предполагает максимальное затруднение работы с Microsoft PowerPoint («Потому что, признаемся, пользователи PP заслуживают этого!» - говорится в описании). Например, каждые десять минут половина ресурсов PowerPoint «зависает», а запуск слайд-шоу может занимать 30 секунд. Второй пример предполагает остановку процессов браузеров (Microsoft Internet Explorer и Mozilla Firefox) каждые 30 секунд. Это делается для того, чтобы пользователь меньше отвлекался на интернет и больше времени тратил на рабочие приложения. У этого есть практический смысл: чем больше времени пользователь уделит работе, тем больше данных может собрать шпионское ПО. Тут необходимо заметить, что помимо «гремлинов-пакостников», AfterMidnight может закачивать в систему и другой тип «гремлинов» - крадущих данные. Есть и третий тип «гремлинов»: их задачей является обеспечение функциональной работоспособности двух других типов. Бесшумный убийца Второй вредоносный фреймворк - Assassin - во многом похож на AfterMidnight, но его конечной целью является установка бэкдора на компьютер жертвы и вывод данных с него. Assassin включает компилятор вредоноса, имплант, командный сервер и «пост прислушивания» - модуль, выполняющий роль посредника между имплантом и контрольным сервером. Имплант - то есть, непосредственно сам вредонос, - способен выполнять целый ряд различных задач, в первую очередь, шпионских. Имплант устанавливается в систему в качестве службы Windows. Откуда что берется В публикации Wikileaks утверждается, что эти вредоносы и документация к ним были получены от хакеров и информаторов – по-видимому, из самих спецслужб. Начиная с 7 марта 2017 г. и до настоящего времени все публикации Wikileaks посвящены хакерскому инструментарию ЦРУ. «Нельзя исключать, что так называемые утечки «секретных инструментов» на деле являются способом их обкатки в реальных условиях, - говорит [b]Дмитрий Гвоздев[/b], генеральный директор компании «Монитор безопасности». - Утверждать этого однозначно нельзя, но в теории эти утечки вполне могут служить для прощупывания киберсреды и изучения реакции других сторон противостояния на появление новых инструментов. На практическом же уровне такие утечки приводят всегда к одним и тем же последствиям: новые хакерские инструменты моментально пристраивают к делу самые обычные киберпреступники, мотивированные только возможностью легкого заработка».[img]http://filearchive.cnews.ru/img/news/2017/05/17/cia600.jpg"> «Гремлин», разработанный ЦРУ, каждые 30 секунд подвешивают PowerPoint, Internet Explorer и Firefox В документации приводятся два примера использования «гремлинов». Один из них предполагает максимальное затруднение работы с Microsoft PowerPoint («Потому что, признаемся, пользователи PP заслуживают этого!» - говорится в описании). Например, каждые десять минут половина ресурсов PowerPoint «зависает», а запуск слайд-шоу может занимать 30 секунд. Второй пример предполагает остановку процессов браузеров (Microsoft Internet Explorer и Mozilla Firefox) каждые 30 секунд. Это делается для того, чтобы пользователь меньше отвлекался на интернет и больше времени тратил на рабочие приложения. У этого есть практический смысл: чем больше времени пользователь уделит работе, тем больше данных может собрать шпионское ПО. Тут необходимо заметить, что помимо «гремлинов-пакостников», AfterMidnight может закачивать в систему и другой тип «гремлинов» - крадущих данные. Есть и третий тип «гремлинов»: их задачей является обеспечение функциональной работоспособности двух других типов. Бесшумный убийца Второй вредоносный фреймворк - Assassin - во многом похож на AfterMidnight, но его конечной целью является установка бэкдора на компьютер жертвы и вывод данных с него. Assassin включает компилятор вредоноса, имплант, командный сервер и «пост прислушивания» - модуль, выполняющий роль посредника между имплантом и контрольным сервером. Имплант - то есть, непосредственно сам вредонос, - способен выполнять целый ряд различных задач, в первую очередь, шпионских. Имплант устанавливается в систему в качестве службы Windows. Откуда что берется В публикации Wikileaks утверждается, что эти вредоносы и документация к ним были получены от хакеров и информаторов – по-видимому, из самих спецслужб. Начиная с 7 марта 2017 г. и до настоящего времени все публикации Wikileaks посвящены хакерскому инструментарию ЦРУ. «Нельзя исключать, что так называемые утечки «секретных инструментов» на деле являются способом их обкатки в реальных условиях, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Утверждать этого однозначно нельзя, но в теории эти утечки вполне могут служить для прощупывания киберсреды и изучения реакции других сторон противостояния на появление новых инструментов. На практическом же уровне такие утечки приводят всегда к одним и тем же последствиям: новые хакерские инструменты моментально пристраивают к делу самые обычные киберпреступники, мотивированные только возможностью легкого заработка».