На страницах Wikileaks появилась новая публикация из цикла Vault 7. Напомню, что такое имя носит огромный дамп секретных документов Центрального разведывательного управления (ЦРУ) США, который Wikileaks начала обнародовать 7 марта 2017 года.
Первая публикация получила название «Год зеро» (Year Zero) и содержала 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли. Вторая партия документов получила имя «Темная материя» (Dark Matter), и эти бумаги посвящены ряду проектов спецслужб, при помощи которых технику Apple (Mac, iPhone) заражают устойчивой малварью, которая продолжает «жить» в прошивке даже после переустановки ОС.
Стоит подчеркнуть, что Wikileaks обнародовала только саму документацию, пусть и под грифом «секретно», а хакерские инструменты спецслужб, которым посвящены все эти инструкции, служебные заметки и другие бумаги, опубликованы не были. Джулиан Ассандж сообщил, что доступ к эксплоитам и малвари спецслужб пока будет предоставлен только представителям компаний, чьи продукты оказались под ударом. «После этого, когда мы “разоружим” эти программы, удалив критические компоненты, мы опубликуем дополнительные детали случившегося», — заявил Ассандж.
Теперь Wikileaks обнародовала один из наиболее «безобидных» инструментов в арсенале ЦРУ – это фреймворк Marble и 676 файлов с его исходными кодами. По данным Wikileaks, версия v1.0 появилась в 2015 году, и инструмент использовался вплоть до 2016 года.
По сути, сам Marble нельзя назвать вредоносным, так как это лишь инструмент для обфускации кода, который позволяет «сбить со следа» киберкриминалистов и обмануть антивирусные решения (в комплекте поставляется и деобфускатор). Представители Wikileaks пишут, что ЦРУ, очевидно, использовало Marble для внедрения в код своей малвари так называемых «фальшивых флагов» — ложных следов, указывающих на какую-либо хакерскую группу или даже страну. Дело в том, что исходники Marble содержат тестовые образцы не только на английском языке, но также на фарси, китайском, корейском, арабском и русском языках.
Впрочем, некоторые эксперты не согласны с выводами Wikileaks и СМИ, которые уже поспешили обвинить ЦРУ в том, что оно выдавало свои атаки за «деяния» зарубежных правительственных хакеров. К примеру, основатель Rendition Infosec Джейк Уильямс (Jake Williams) пишет, что изучил исходники Marble и полагает, что образцы на китайском и русском языках говорят лишь о том, что инструмент тестировался и поддерживает юникод, но не более того.
Based on less than 30 minutes of code review, I emphatically disagree with the @wikileaks assertion that Marble is used for false flag ops.
— Jake Williams (@MalwareJake) March 31, 2017
.@wikileaks The Chinese and Russian examples noted by WL only show that the tool was tested for Unicode support, nothing more.
— Jake Williams (@MalwareJake) March 31, 2017