Радость к нам приходит

Posted: 2017-06-06 in По жизни
Метки:

Викиликс опубликовал классную и интересную документацию прямиком из ЦРУ:
https://wikileaks.org/vault7/#Pandemic

Если вам интересна тема современной шпиономании и технических возможностей американских разведок, приглашаем в избу-читальню.

1 июня 2017, Пандемик.
Троян длв виндовс-машин с поднятой службой SMB, подменяющий «на лету» отдаваемые по SMB исполняемые файлы. Причём он их ИНФИЦИРУЕТ в момент отдачи полностью прозрачно, что приводит к забавному эффекту — локальная проверка и анализ показывает, что всё ок, но при скачке по сети отдается инфицированный ехе. Особая зона риска — распространяемые механизмами групповых политик инсталляторы, корпоративные бинарные клиенты (угрёбищный говно-софт на дельфи, я тебя не забыл!), лежащие на файл-серверах, и тому подобные непотребства. Блоатваре вплоть до 800Мб — не проблема, может работать прицельно, отдавая инфицированные бинари только выбранным клиентам. Например, персонально топ-менеджерам, директорату и главбуху, никак не срабатывая для кладовщиков, безопасников, админов, секретарш и прочих пользователей локалки, которые либо не интересны, либо чьё внимание привлекать крайне не желательно для разведчиков/шпиёнофф.

Выявление такого «нулевого пациента», особенно на старых виндовс, задача нетривиальная, особенно если инфекция успела разойтись по сети. Антивирусы, ясен хер, как обычно где-то в пролёте над окрестностями Парижа.

 

19 мая 2017, Атэна.
Троян-дроппер от трехбуквенных, поражающий иммунно-дефицитные ОС от виндовс-хр до виндовс-10 включительно, служит для распространения других правительственных троянов (иногда называемых «fedware»). В антивирусных базах замечен не был, характер стойкий, нордический =)
Разработчик оного трояна тащится от него даже больше, чем от бомб, включая ядерные, что даже несколько удивительно.

12 мая 2017, после-полуночный ассасин

Тут уже даже не трояны, а целые вредоносные фреймворки, дайте два. Сервисная DLL (в винвдос есть возможность автозапуска кода из DLL сразу несколькими способами), взаимодействие опирается на HTTPS. Управляет другими небольшими троянскими модулями «т. н. гремлинами», запуская их в правильной последовательности и по заданным сценариям во славу величия США и во имя торжества демократии. Есть в этом зоопарке и свой альфа-самец альфа-гремлин — троянищще с собственным скриптовым языком для более удобного доминирования над другими червями, вирусами и троянами.

Аналогичный фрейморк «Ассассин» — также служит для связки других троянов в единую шпионскую платформу. Запускается как виндовый сервис, наверняка внутри svchost (это микрософт родила охренительную нычку), отстукивается наружу по заранее сконфигуренным транспортным протоколам. Думаю, много кому было бы интересно поковырять на предмет этих самых транспортных протоколов.  Там наверняка окажется не только классика в духе «кастомный SSL внутри TCP на стандартный или нестандартный порт», но и что-нибудь покруче, типа ICMP- / DNS- / NTP- и прочего извращённого туннелирования.

 

 5 мая 2017, Архимед

Сетевой троян, ориентированный на применение в локальных сетях (офисы, корпоративная сеть), позволяющий редиректить траффик (говорится про веб-траффик, но не исключены и другие его виды) выбранной жертвы на машину, уже зараженную другими цру-троянами, с целью прозрачно подсадить ещё неинфицированной жертве нужный эксплоит, причем незаметно и прозрачно для пользователя. Вопрос о применяемой технике — будь это прикладные атаки на WPAD или же сетевые атаки на ARP — остается достаточно интересным. Это к вопросу, зачем вам IMPB / Arpwatch / DPI в вашей сети.

 

28 апреля 2017, Каракули

А вот тут я офигевал и кричал «вау-вау-вау!» Утекли и документация, и исходники. Это система установки скрытых водяных знаков для документов микрософт-офиса, причем класса «веб-маячок» — то есть типа прозрачного пикселя с http-адресом. Идея проста — при открытии такого документа офисный пакет без предупреждения попробует отобразить такую картинку, грузнув её из сети, оставив при этом в логах веб-сервера (естественно, подконтрольного ЦРУ) серийник документа, IP-адрес открывшего и вообще _любую_ инфу, которую в эту метку засунут. Внутри документа она тоже просто так никуда не денется. Лимит длины метки — размер GET-запроса, по идее, что более чем достаточно. Очень напомнило северокорейский десктопный чучхе-линух с аналогичной функциональностью, только заточенной под оффлайн (как впрочем и вся кндр).
Если вы патриотичный американец — вы должны немедленно забыть прочитанное, браузер закрыть, а компьютер расстрелять и взорвать — инфа под грифом секретности до 2066 года. Без малейшего понятия, что значит «ORCON/NOFORN» после слова SECRET, но думаю, что что-то уже не очень важное. Документы эта софто-дрына  старается метить тихо, без шума и пыли, а в мануале прямо написано, что на целевой инфицированной машине сам код, конфиги и логи хранить нельзя, типа задача отдельного сервера, если правильно понял. Секретность, епта.
Покрываемые версии форматов файлов мс-офиса вписываются в двадцатилетный период — с 1997 по 2017 год, и не подвержены только форматы ворда 95 (мну ехидно представил себе страдания, неизбежные при открытии файла ворда 1995 года в современном мс-офисе), и файлы с парольной защитой.
Не обошлось без ложки дёгтя — если клиент откроет такой документ в Open/Libre оффисе, то тайное может стать явным, скрытые картинки могут быть обнаружены, а URL к правительственным трекинговым серверам станут достопримечательностью сетевых юмористов.
Даже даны советы, как эти адреса лучше замаскировать, и что тест такой метки надо делать и в других офисных пакетах тоже.
Так что если вы у себя дома смотрите документы из ЦРУ не просто прикола ради (как я  тут 😀 😀 ) — обязательно сделайте для них песочницу без выходов в интернеты, ибо посольство Эквадора не резиновое.

 

21 апреля 2017, Плачущий ангел

Причем плачет он кровавыми слезами по вашему дурному телевизору стоимостью за килобакс-другой-третий.  Помните шутку, что «в Советской России телевизор смотрит вас!» ? Не уверен насчет России, тем более советской, а вот для ЦРУ (и Ми5) это вполне себе реальность. Встречаем — вредоносный шпионский модуль для Samsung Smart TV, серия F, полученный (и совместно доработанный!) от разведслужбы Mi5, с функцией записи звука со встроенного микрофона (поднимите руки, кто вообще в курсе, что в смарт-тв есть встроенный микрофон ?) и отправки записей гнусным коварным шпионам защитникам демократии и прав человека.
Учитывая работающий от рута и кишащий уязвимостями интерфейс на древнем embed-линуксе, предположу, что у Mi5 разработка такого чуда не отняла слишком уж много сил и времени.

 

14 апреля 2017, Улей
А это уже C&C-сервер цру-шных ботнетов. Представляет собой обычный https-веб-сайт с непримечательным содержимым, по определённым url отвечающий за взаимодействие с работающими «на местах» программными закладками. Служит как для отдачи инструкций, так и для приёма собранной инфы. Используется массой шпионского fedware от ЦРУ.
Некоторые аверы и эксперты даже смогли отловить в дикой природе редкие образцы федваре, и даже обнаружили, что они получают команды от специфичных доменов, зареганных анонимно на обычных VPS-хостингах, но причастность к ЦРУ это, понятное дело, не доказывает. Ну а HTTPS в сочетании с маскировкой под обычный сайт добавит немного боли наивно верящим в необузданную силу DPI и лобовой парсинг траффика.

 

 
7 апреля 2017, Кузнечик
Хотя больше похоже на саранчу. И нет, это не про российскую отечественную криптографию, данная заметка посвящена совсем другой стране.
И снова целый фреймворк, готовая платформа для создания уникальных кастомных вредоносов под ОС микрософт-виндовс.
Куча модулей, свой скриптовый язык, пред-инсталляционное обследование перед основным заражением, выборочное срабатывание только на машинах, подходящих под заданные условия, и прочая вкуснота, всё как у серьёзного шпионского ПО и топовых банковских троянов.
Надеюсь, мне не надо напоминать читателям, где данный фреймворк, и где — вся наша любимая антивирусная индустрия ?Впрочем, напоминать и не надо — там английским по белому написано, что оная живность может ставить зловреды кучей разных способов, используя шифрование, разные расширения, и различные механизмы заражения. Есть даже готовая табличка, показывающая, как детектится (точнее, нихрена не детектится) их чудо-живность на разных виндовсах и с разными антивирусами. Типа, не так страшен симантек и касперский, как их малюют.

Коварные американские е-шпионы оказались настолько коварны, что даже смогли повторно заюзать часть вредоносного кода банковского трояна Carberp, и закон об авторском праве (что в цифровую эпоху, что в аналоговую) их совершенно не смутил. 😀

 

31 марта 2017, Мрамор
Тут комбо-фаталити: исходники фреймворка для противодействия форензике (т.н. компьютерной криминалистике) в отношении американского fedware. Качаем всё, авось пригодится в хозяйстве. Цель — затруднить исследование образцов fedware, если кто не в меру параноидальный вдруг его запалит.
Ключевая идея — применение обфускации текстовых строк, что позволяло публично делать «лицо кирпичом» и нагло заявлять, что раз текстовые строки (sic!) в файлах на китайском / русском / корейском / арабском — то и хакеры тоже были соответственно китайские / русские / корейские (причём сугубо северо-корейские, и даже тогда, когда кндр сидела без электричества ;D ) / арабские и какие угодно ещё, хоть папуа-ново-гвинейские, но только не американские и не британские, и уж конечно, никак с трехбуквенными конторами не связанные, как вы могли такое подумать 😀

 

 
23 марта 2017, Темная материя
А вот это реально термояд и межгалактические оружейные технологии.
Проект по инфицированию АППАРАТНЫХ ПРОШИВОК на Apple Macintosh (там UEFI-загрузчик, совершенно издевательски названный OpenFirmware).  Цель данной вредоносной муйни — инфицирование загрузочных прошивок на Apple Mac / Apple iphone, основанных на EFI/UEFI.
Кто там вонял громче всех, что классический BIOS во флеш + аварийный загрузчик в ROM устарели, и UEFi типа шаг в будущее ? Ась ?
Текущая реализаци EFI — это шаг в червивый ад с неизвлекаемыми троянами и массовыми эпидемиями, а вовсе не в светлое будущее.
В итоге, фирмварь яббла оказалось «Open» разве что для американских спецслужб. Учитывая глубину ректального проникновения, обильную траффико-генерацию такого девайса и общую закрытость яблочной системы, рискну предположить, что даже среди ИТ-сообщества очень и очень немногоие смогут вообще заметить что-то подозрительное, лишь считанные единицы смогут понять, что именно случилось, и ещё меньше — как это удалить.
У обычных же пользователей, не знакомых с железом на столь глубоком уровне, шансов даже обнаружить подобное — ноль целых , хуй десятых, а обезвреживание лежит по уровню сложности где-то между телепортацией и построением звезды смерти на кухне из подручных материалов.
Впрочем, сумрачные гении из ЦРУ на UEFI не остановились. Заразить «местечкоый яббло-BIOS» или его более моднявые аналоги — конечно, круто, но заразить нетривиальные, и потому вообще не привлекающие никакого внимания сторонние прошивки — круче несопоставимо. Поехали.»Звуковая отвертка» — вредоносный код, хранимый в злонамеренно модифицированной прошивке прошивке ThunderBolt-2-Ethernet.
Место — лучше не придумать. С одной стороны — высокоскоростная шина в десятки гигабит, с DMA и прочей низкоуровневой прелестью прямого доступа к ФИЗИЧЕСКОЙ памяти в обход всех этих глупых и наивных на этом уровне «прав доступа», «стойких паролей», «обновлений безопасности ОС» и прочей мишуры, а с другой — аппаратная PHY-часть сетевого интерфейса, позволяющая иметь каналы связи шириной от сотен килобит в наихудшем случае до почти полновесного гигабита при особом везении, принципиально не контролируемые никакими программными средствами хоста. При наличии такой инфекции любые пакетные фильтры, снифферы, IPS/IDS, и прочее, запущенное на самом пораженном макинтоше , принципиально не смогут обнаружить траффик такой закладки. Тут в диагностике помочь может только внешняя система, ВНЕ пораженной машины, и то надо знать, что именно искать.

«Темные Морские Небеса» — вредоносные код для загрузочной прошивки макинтоша. Проверен на яблочном макбуке-air, и состоит из трёх частей — EFI-модуля в прошивке, и вредоносных модулей для режима ядра и пользователя, чтобы никто не ушёл обиженным.

«Тритон» — малварь под макоз, есть версия с EFI-модулем, повышенной стойкости. Обычному пользователю проще будет выкинуть мак-бук в лаву.

Что касается айфонов — ЦРУ инфицировала целевые устройства прямо с завода, вклинившись в цепочку поставок, с 2008 года. И кстати, довольно сложно сказать, какой процент айфонов вышел с такой «нагрузкой». Закрытость экосистемы сильно усложняет проверку ВАМ, законным владельцам устройства, но совершенно не мешает ЦРУ, либо же хакерам, воспользовавшимися результатами утечки от той же ЦРУ, превратить ваш айфончег из «надежного второго фактора SMS-авторизации» в промежуточную платформу для атаки на основную машину.
А вот что будет после — тут каждый может попробовать предсказать в меру своей фантазии.

 

 

Если же вам показалось, что стукснета, флейма и поражающих прошивки яббло-девайсов ЦРУ-шных троянов всё ещё недостаточно для паники, то у меня есть прекрасная новость от британских учёных:
Уязвимые к кибераатакам ядерные ракеты.

По мнению военных, Trident защищены от хакерских атак с помощью физической изоляции, однако ученые с этим не согласны. Во время нахождения подлодки в море при обычных обстоятельствах ракеты действительно неуязвимы к вредоносному ПО, однако оно может попасть в системы в другое время, например, при прохождении техобслуживания на военно-морской базе.

На подлодках используется та же ОС Windows, что и в Министерстве внутренней безопасности США, пострадавшем от недавних атак с использованием вымогательского ПО WannaCry.

Windows на подлодке и WannaCry на баллистической ракете с ядерной боеголовкой — что может быть прекраснее ?

Не скучайте.

 

Реклама
- комментарии
  1. […] —————— P.S. Прошло буквально полгода — и выяснилось, что ставить шпионские метки на файлы умеет не только серев…. […]

  2. […] ТруЪ-чучхе-десктоп |… на Радость к нам приходит […]

  3. […] РКН — выстрел… на Радость к нам приходит […]

  4. […] снова госдеп, а если точнее — коварные агенты ЦРУ. викиликс как раньше аццки жгла, так и продолжает жечь сейчас. Встречаем: […]

  5. […] Amin 's Blog на Радость к нам приходит […]