Сегодня, 7 марта 2017 года, Wikileaks начала публикацию дампа под кодовым названием Vault 7, содержащего подробности работы Центрального разведывательного управления (ЦРУ) США. Первая публикация получила название «Год зеро» (Year Zero) и содержит 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли.
Официальный пресс-релиз гласит:
«Недавно ЦРУ утратило контроль над большей частью своего хакерского арсенала, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня, вредоносные системы удаленного доступа и связанную с этим документацию. Эта исключительная коллекция, насчитывающая несколько сотен миллионов строк кода, дарует своим обладателям всю хакерскую мощь ЦРУ. Данный архив, судя по всему, без надлежащего разрешения циркулировал среди бывших правительственных хакеров США и подрядчиков, один из которых предоставил часть архива в распоряжение Wikileaks».
Дамп содержит только документацию, и решение избегать публикации и распространения готового к работе кибероружия, разумеется, было осознанным.Представители Wikileaks полагают, что сначала нужно разобраться с тем, как правильно изучить и обезвредить эти инструменты, приняв во внимание технические и политические аспекты проблемы. И лишь после этого их будет возможно обнародовать.
Тем не менее, опубликованная в виде торрент-файла документация (пароль от архива: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds и это цитата президента Джона Кеннеди) содержит множество интересных подробностей. Документация проливает свет на взлом устройств, работающих под управлением iOS и Android, «умных» телевизоров Samsung, а также рассказывает о том, какие методы спецслужбы используют для перехвата сообщений в WhatsApp, Telegram и Signal.
Например, документы раскрывают подробности того, что ЦРУ хранит информацию о множестве 0-day уязвимостей в продуктах Apple, Google, Microsoft и других крупных компаний, подвергая риску всю индустрию.
Рассказывают бумаги и о малвари Weeping Angel, созданной Embedded Devices Branch (EDB) ЦРУ, при участии специалистов их британской MI5. С ее помощью спецслужбы могут заражать «умные» телевизоры Samsung, превращая их в шпионские устройства. И хотя для установки Weeping Angel, судя по всему, требуется физический доступ к устройству, малварь предоставляет спецслужбам самые разные возможности. Вот только некоторые из них: Weeping Angel может извлекать учетные данные и историю браузера, а также перехватывать информацию о WPA и Wi-Fi. Вредонос умеет внедрять поддельные сертификаты для облегчения man-in-the-middle атак на браузер и получения удаленного доступа. Также Weeping Angel может создать впечатление, что телевизор выключен, тогда как на самом деле он продолжает работать, а встроенный микрофон «слушает» все, что происходит вокруг.
В документах упоминаются телевизоры Samsung F800, а также есть указания на то, что разработчики ЦРУ тестировали прошивки версий 1111, 1112 и 1116. Вероятнее всего, Weeping Angel представляет опасность для всех моделей серии Fxxxx.
Также бумаги свидетельствуют о том, что под эгидой ЦРУ было создано множество самой разной мобильной малвари для iPhone и Android. Зараженные устройства практически полностью переходят под контроль правительственных хакеров и отправляют на сторону данные о геолокации, текстовых и аудиокоммуникациях, а также могут скрытно активировать камеру и микрофон девайса.
WikiLeaks' #Vault7 reveals CIA 'zero day' attacks against iPhones, iPads (iOS) https://t.co/UEWWAWWV6K pic.twitter.com/GmpMcmGLPC
— WikiLeaks (@wikileaks) March 7, 2017
WikiLeaks' #Vault7 reveals numerous CIA 'zero day' vulnerabilities in Android phones https://t.co/yHg7AtX5gg pic.twitter.com/g6xpPYly9T
— WikiLeaks (@wikileaks) March 7, 2017
Так, сообщается, что в 2016 году в распоряжении ЦРУ были 24 уязвимости нулевого дня для Android, а также эксплоиты для них. Причем уязвимости ЦРУ находит и «прорабатывает» как самостоятельно, так и получает от своих коллег, к примеру, ФБР, АНБ или британского Центра правительственной связи. Именно уязвимости нулевого дня помогают спецслужбам обходить шифрование WhatsApp, Signal, Telegram, Wiebo, Confide и Cloackman, так как перехват данных происходит еще до того, как заработало шифрование.
Кроме того, документация рассказывает о вредоносах и техниках атак на Windows, macOS, Linux, IoT-устройства, а также о 0-day уязвимостях для них. В документах даже нашли инструкцию по обходу активации Windows 8.
Don't want to pay for Wndows? The CIA's hackers have a pirate guide to skip product key activation https://t.co/ogJJWUZ2Hg pic.twitter.com/GaaZW14BtK
— WikiLeaks (@wikileaks) March 7, 2017
Упоминается также разработанная специалистами ЦРУ программа UMBRAGE, в рамках которой спецслужбы умышленно используют хакерские инструменты других стран и хакерских группировок (по заявлениями Wikileaks, попросту похищенные), чтобы создать видимость так называемого «фальшивого флага» (false flag). То есть UMBRAGE помогает создать видимость того, что ответственность за атаку лежит на ком-то другом.
Суммарно в архиве содержится почти гигабайт данных, и ИБ-эксперты, СМИ и исследователи только начали анализировать новый дамп. Тем не менее, аутентичность публикации уже подтвердил Эдвард Сноуден и представители The Wall Street Journal.
Still working through the publication, but what @Wikileaks has here is genuinely a big deal. Looks authentic.
— Edward Snowden (@Snowden) March 7, 2017
If you're writing about the CIA/@Wikileaks story, here's the big deal: first public evidence USG secretly paying to keep US software unsafe. pic.twitter.com/kYi0NC2mOp
— Edward Snowden (@Snowden) March 7, 2017