Wikileaks опубликовала новые файлы из цикла Vault 7, то есть рассказала еще о нескольких хакерских инструментах ЦРУ. Напомню, с марта 2017 года под этим названием публикуется огромный архив секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США.

Новая публикация Wikileaks едва не осталась незамеченной, так как всеобщее внимание было приковано к атакам шифровальщика WannaCry. Тем не менее, несмотря на всеобщую панику, Wikileaks продолжила придерживаться графика публикаций, и новый дамп получил имя AfterMidnight.

На этот раз обошлось без публикации исходных кодов, были выложены только документы, касающиеся сразу двух инструментов спецслужб: фреймворков AfterMidnight и Assassin, предназначенных для Microsoft Windows.

Согласно опубликованным бумагам, AfterMidnight – это малварь, которая устанавливается на компьютер жертвы как DLL-файл и работает как бэкдор. Время от времени AfterMidnight связываются с управляющим сервером посредством HTTPS, откуда может скачивать дополнительные модули. В документации эти дополнительный компоненты названы «гремлинами» (Gremlins).

Модули делятся на три категории: модули, которые могут извлекать данные из зараженной системы; модули, которые подрывают работу локального ПО; а также модули, которые обеспечивают дополнительную функциональность для других компонентов.

В документах также описаны возможные сценарии использования AfterMidnight. К примеру, специалистам ЦРУ предлагается использовать малварь, чтобы не дать цели пользоваться браузером. Тогда цель будет уделять больше времени своей работе, что позволит ЦРУ собрать больше данных. На приведенных ниже примерах видно, что ради этого советуют прерывать работу Internet Explorer и Firefox каждые 30 секунд.

Второй фреймворк,  Assassin, очень похож на AfterMidnight. Assassin также состоит из билдера, имплантата, управляющего сервера и так называемого «поста перехвата» (Listening Post), который выступает посредником между зараженной машиной и C&C-сервером.

Это решение также позволяет получить удаленный доступ к системе на базе Microsoft Windows, работая в системе как служба. При помощи Assassin можно собирать и похищать самую разную информацию или устанавливать дополнительное ПО.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    5 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии