.
Фото: ©Александр Кряжев, РИА «Новости»

НЕВИДИМОЕ ОРУЖИЕ

Лэнгли — небольшой район, расположенный всего в 13 километрах от Вашингтона. В 1961 году по распоряжению президента Эйзенхауэра здесь было построено здание Центрального Разведывательного Управления. За всю свою историю существования ЦРУ десятки раз становилось участником скандалов и политических конфликтов. Деятельность агенства связывали с революциями, государственными переворотами, кражами секретных технологий и даже активностью террористов.

Но все эти годы одно из подразделений ЦРУ, подразделение киберразведки, оставалось в тени, почти не привлекая к себе какого-либо внимания. В 2010 году компьютерный червь Stuxnet нарушил функционирование центрифуг для обогащения урана в Иране, чем, как тогда заявила Хиллари Клинтон, отбросил ядерную программу этой страны на несколько лет назад. Прямых доказательств причастности ЦРУ к этому вирусу не было, но многие компьютерные эксперты были склонны считать, что агенство внесло значимую лепту в появление этого вируса. Тогда же общественность всерьез заговорила о том, что в мире появилось новое слово — кибероружие.

Одно из основных свойств киберооружия — компактность. Программы, способные влиять на мировые биржи, проникать в самые защищенные компьютерные системы и останавливать заводы, могут уместиться на обычной флешке. Wikileaks заявляет о том, что не так давно ЦРУ утратило контроль над своим хакерским арсеналом и коллекция самых современных вирусов, уязвимостей «нулевого дня» и других средств кибернападения пошла «гулять по рукам» бывших подрядчиков и уволившихся государственных хакеров, один из которых и предоставил информацию Wikileaks. Помимо кибервооружений архив также содержит большое количество документов и инструкций, проливающих свет на внутреннюю деятельность одного из самых засекреченных подразделений ЦРУ.

В 2001 году ЦРУ получила приоритет над АНБ (Агенство Национальной Безопасности США) и увеличило свой бюджет и политический вес, развивая свою деятельность сразу по нескольким перспективным направлениям. Самое известное из них — армия боевых летающих дронов, способных уничтожать цели по всему миру. Однако вместе с традиционным оружием Агенство все эти годы строило армию хакеров, способных нанести гораздо больший ущерб. К концу 2016 года в хакерское подразделение ЦРУ входило около 5 тысяч человек, создавших более тысячи единиц кибероружия.

Вредоносные программы и хакерские утилиты в ЦРУ создает отдельное подразделение — инженерно-техническая группа (Engineering Development Group). Она является часть Центра Кибер-Разведки, который в свою очередь относится к Директорату Цифровых Инноваций (Digital Innovations Directorate). Эта группа ответственна за разработку, тестирование и поддержку всего хакерского арсенала ЦРУ.

За создание шпионских программ для бытовых устройств, роутеров и телевизоров отвечает Отдел Встроенных Устройств (Embedded Device Branch). В 2014 году они разработали троян «Плачущий ангел», способный заражать линейку умных телевизоров Samsung Smart-TV. После заражения устройство ведёт себя как обычно: при выключении на нём гаснут индикаторы и экран, но на самом деле телевизор продолжает работать и способен работать как жучок, записывая разговоры в комнате и отправляя их в командный центр ЦРУ. Группа даже разработала алгоритм шумоподавления для того, чтобы шпионские прослушки, собранные телевизорами, были качественней и содержательней.

Другие разработки подразделения позволяют получать контроль над роутерами, IP-телефонами, устройствами Apple Time Capsule и даже межрегиональными коммутаторами Cisco. В частности, подразделение интересовали наиболее популярные модели роутеров в Пакистане и Китае. Особое внимание отдел уделяет атакам на BIOS — базовому набору микропрограмм компьютера, которые обеспечивают его работу на низком уровне.

На совещании 23 октября 2014 года также упоминается, что подразделение планирует сфокусироваться над созданием хакерского ПО для получения доступа к системам умных автомобилей. Такие инструменты позволили бы ЦРУ осуществлять абсолютно недоказуемые убийства — например, деактивировав подушки безопасности и заставив машину жертвы въехать на полной скорости в столб. На одном из совещаний упоминается интерес к BlackBerry QNX, программном обеспечении, которое работает более чем в 60 миллионах автомобилей.

Разработками хакерских утилит для заражения телефонов в ЦРУ занимается специальная группа — отдел мобильных устройств. Несмотря на небольшую долю на рынке (14,5%), iOS и айфоны являются первоочередной целью отдела, так как именно телефонами Apple пользуется подавляющая часть политической и бизнес элиты по всему миру.

Судя по опубликованным документам, ЦРУ почти всегда обладало информацией об уязвимостях в самой последней версии iOS. Для этого команды разработчиков не только самостоятельно искали ошибки в системах Apple, но и закупали уязвимости «нулевого дня» на стороне: у своих коллег в ФБР, АНБ, английской разведке и даже у частных исследовательских фирм.

Системы Android также пользовались вниманием подразделения. Арсенал команды насчитывал 24 эксплойта, способных в различных комбинациях помочь агентам получить доступ к данным телефона.

Взломы операционных систем телефонов позволяют ЦРУ обходить криптографию мессенджеров, таких как Signal, WhatsApp и Telegram. Имея полный доступ к телефону, агентство просто перехватывает данные до того, как они будут зашифрованы, не взламывая сам мессенджер.

ЦРУ очень серьезно продвинулось в области заражения систем семейства Microsoft Windows. Особое внимание разработчики уделили способам автоматического распространения вредоносных программ и заражения чужих систем. Для этого были созданы трояны и вирусы, распространявшие себя через CD и DVD диски и флешки. Программное обеспечение ЦРУ могло прятать себя в скрытых разделах диска и поддерживать дальнейшее заражение столько, насколько это было максимально возможно.

Массовым заражением компьютерных систем занимается отдел автоматического внедрения (Automated Implant Branch). Отделу удалось создать несколько систем автоматизированного распространения вредоносного ПО, а также управляющие центры для его контроля и использования в последующих операциях.

Wikileaks заявляет, что ЦРУ удалось создать мультиплатформенные средства атаки и контроля, которые могли заражать не только Windows-системы, но также Linux и MacOS.

«КАРМАННЫЙ ПУТИН»

Из документов, опубликованных Wikileaks, становится достоверно известно о европейской базе хакеров ЦРУ, действующей под прикрытием американского консульства во Франкфурте. Хакерам, работающим на ЦРУ, предоставляются черные дипломатические паспорта и прикрытие Госдепартамента США.

Агентство также снабжает своих сотрудников исчерпывающими инструкциями, регулирующими их поведение и даже рекомендует (аккуратно!) воспользоваться бесплатным алкоголем на борту, если рейс выполняется авиакомпанией Люфтганза.

«Пройдите через немецкую таможню, у вас есть надежное прикрытие. Все, что нужно сделать пограничникам — это проштамповать ваш паспорт. Если вас спросят о цели вашего визита, скажите, что вы прибыли для технической поддержки работы консульства». (Инструкция ЦРУ США).

Попадая в Шенгенскую зону, хакеры ЦРУ могут без каких-либо ограничений путешествовать в пределах 25 стран. Это в том числе необходимо, так как для некоторых методов кибератак ЦРУ необходимо физическое присутствие агента в непосредственной близости к атакуемой цели.

Например, в случае необходимости получения доступа к информации в какой-либо изолированной от внешнего интернета сети ЦРУ снабжало своего сотрудника или завербованного агента флешкой с заранее составленным набором вредоносных утилит, с помощью которых хакеры могли скопировать необходимые данные. Для того, чтобы замаскировать процесс копирования, ЦРУ разработало целую методику, включающую в себя несколько десятков средств маскировки под общим названием «Столовая». Сторонний наблюдатель видел, что человек за компьютером просто смотрит видео, составляет презентацию, играет в игру 2048 или даже запускает антивирус Касперского, но на самом деле это было замаскированное копирование данных.

Кроме этого, «Столовая» представляет из себя своего рода опросник, который агенты должны заполнить чтобы технический персонал смешал для них правильный «коктейль» хакерских программ.

Любопытно, что среди целей хакерской атаки отдельно выделены «иностранные информационные операции», «иностранные разведывательные агентства» и «иностранные государственные образования».

Документы Wikileaks довольно тщательно описывают инфраструктуру хакеров ЦРУ. Помимо баз, где сидят сами хакеры, это еще и сотни серверов по всему миру, иногда работающих под видом невинных веб-сайтов, не вызывающих подозрения. У таких серверов может быть разное предназначение, какие-то из них используются для координации зараженных компьютеров, какие-то для дампа данных, а какие-то непосредственно для проведения атак. Один из типов таких серверов — Сервер Прослушивания (Listening Post). Специальное ПО, разработанное хакерами ЦРУ для запуска такого сервера, называется «Карманный Путин».

Специальный проект ЦРУ под кодовым словом «Обида» (UMRAGE) занимается тщательным анализом своих и чужих атак, а также использованных хакерских программ. Каждый написанный вирус, каждый троян и каждая атака обладает своими мельчайшими деталями, такими, например, как техника написания кода или логика проведения самой атаки. Исследуя эти детали, сходства и закономерности, специалисты теоретически могут отследить связь между несколькими атаками и определить причастность одной, иногда даже конкретной группы хакеров к осуществлению взлома.

ЦРУ ведёт специальную библиотеку, где хранит информацию об известных ей хакерских атаках и следах, которые они оставили. Такая база данных позволяет сохранять «стерильность» собственных разработок и проводимых операций. А так как набор следов других хакерских группировок известен агентству, ЦРУ может специально оставлять некоторые из них, выдавая свои операции за проделки «русских хакеров». Эксперт Роберт Грэхем смог подтвердить данную информацию: «В нашей работе было несколько подобных случаев. После изучения материалов Wikileaks мы можем утверждать, что подобные действия со стороны действительно имели место».

Специальные правила четко описывают, что можно и что нельзя делать хакерам ЦРУ при создании вредоносного ПО, чтобы избежать обнаружения связи с ЦРУ, Правительством США или их частными подрядчиками. В архивах Wikileaks даже можно найти рабочую переписку хакеров, где они обсуждают другую хакерскую группировку «Уравнение» (Equation Group), её ошибки и как их можно было бы избежать.

Из схемы, составленной Wikileaks, также известно, что в ЦРУ есть специальный отдел, занимающийся Россией. Он входит в подразделение FIO, которое может быть расшифровано как Foreign Intelligence Operations.

НИЧЕГО НОВОГО...

Генеральный прокурор Германии заявил о том, что его ведомство изучит данные Wikileaks. Samsung рассказала, что защита частной жизни потребителей является высочайшим приоритетом для компании, поэтому она также внимательно изучает опубликованные документы. Apple заявила, что около 80% всех айфонов работают на самой последней версии iOS, где большинство из упомянутых уязвимостей уже было устранено.

Agenda.Media попросила свой источник в хакерской среде прокомментировать публикацию материалов ЦРУ:

«Для человека просвещенного в опубликованных документах Wikileaks ничего термоядерного нет, но есть у меня стойкое ощущение, что программисты там сильно «г####кодеры». Судя по тому, что я увидел, по архитектуре, там есть серьезный косяк на уровне «inter vlan routing» который при определенных условиях позволяет получить доступ к внутренним сервакам из внешнего интернета.

Пока что единственный TOP SECRET в материалах Wikileaks — это методики тестирования для устройств и логи, кое-где можно понять метод внедрения бекдора, но это максимум. Выхлоп для обычного человека — ЦРУ шпионит за всеми через всё что под руку попадётся, от телевизоров и кофеварок до межрегиональных коммутаторов CISCO.

Самый ключевой момент — то что вендоры активно сотрудничают с ЦРУ и АНБ и лгут пользователям. Хочется увидеть методы эксплуатации уязвимостей, но они есть только в гите разработчиков ЦРУ. Вряд ли Ассанж это выложит целиком, это просто опасно.

В целом, по фактам следует действительно обратить внимание, что:

  • ЦРУ активно подслушивает мессенджеры, мобильные и веб, whatsapp, telegramm, viber;
  • активно эксплуатирует публичные wi-fi сети;
  • спокойно на любой машине любого человека парсит файлы через исполнение .jpg файла через calc.exe;
  • легко на любой машине удаляет файлы;
  • контролирует банк-клиенты через подставные iframe, используя топ-вендоров;
  • получает доступ к истории браузеров через XSHM и zeroday во флеше;
  • добавляет свои плагины во все браузеры через топовых вендоров;
  • легко крадёт почту и коллекционирует её;
  • ну и классически продает через вендоров оборудование c предустановленными бекдорами.

Заражают машины людей они, как правило, через сервера обновлений Windows, то есть нужному человеку подменяют IP сервера обновлений на свои или засовывая через microsoft свой патч нужному объекту.

Как от этого избавиться? Ну обычному человеку — никак, если только выкинуть на помойку свой айфон и комп. Человеку технически подкованному — обновить всё ПО, закрыть бекдоры файрволом, серьезного ничего в интернете и на компе не обсуждать и не хранить, всё как всегда«

Timofey Vasilyev
AGENDAMEDIA, 9.08.2017