Wikileaks опубликовала новые файлы из цикла Vault 7, то есть рассказала еще о нескольких хакерских инструментах ЦРУ. Напомню, с марта 2017 года под этим названием публикуется огромный архив секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США.

Новая публикация Wikileaks едва не осталась незамеченной, так как всеобщее внимание было приковано к атакам шифровальщика WannaCry. Тем не менее, несмотря на всеобщую панику, Wikileaks продолжила придерживаться графика публикаций, и новый дамп получил имя AfterMidnight.

На этот раз обошлось без публикации исходных кодов, были выложены только документы, касающиеся сразу двух инструментов спецслужб: фреймворков AfterMidnight и Assassin, предназначенных для Microsoft Windows.

Согласно опубликованным бумагам, AfterMidnight – это малварь, которая устанавливается на компьютер жертвы как DLL-файл и работает как бэкдор. Время от времени AfterMidnight связываются с управляющим сервером посредством HTTPS, откуда может скачивать дополнительные модули. В документации эти дополнительный компоненты названы «гремлинами» (Gremlins).

Модули делятся на три категории: модули, которые могут извлекать данные из зараженной системы; модули, которые подрывают работу локального ПО; а также модули, которые обеспечивают дополнительную функциональность для других компонентов.

В документах также описаны возможные сценарии использования AfterMidnight. К примеру, специалистам ЦРУ предлагается использовать малварь, чтобы не дать цели пользоваться браузером. Тогда цель будет уделять больше времени своей работе, что позволит ЦРУ собрать больше данных. На приведенных ниже примерах видно, что ради этого советуют прерывать работу Internet Explorer и Firefox каждые 30 секунд.

Второй фреймворк,  Assassin, очень похож на AfterMidnight. Assassin также состоит из билдера, имплантата, управляющего сервера и так называемого «поста перехвата» (Listening Post), который выступает посредником между зараженной машиной и C&C-сервером.

Это решение также позволяет получить удаленный доступ к системе на базе Microsoft Windows, работая в системе как служба. При помощи Assassin можно собирать и похищать самую разную информацию или устанавливать дополнительное ПО.



5 комментариев

  1. ShtepSSel

    17.05.2017 at 09:14

    1. Убиваешь процесс ie
    2. Убиваешь процесс firefox
    3. Пользователь качает NSAbrowser (chrome)
    4. ???
    5. ПРОФИТ

    • Asylum

      17.05.2017 at 11:00

      Где с безопасностью все в порядке, вряд ли получится что-то качнуть, и уж тем более поставить

  2. joker2k1

    18.05.2017 at 14:12

    т.е. чел видит что у него почему то постоянно вылетают браузера и это должно его смотивировать работать, а не искать причину? тем более что счас часто работа идет в веб-приложениях
    однако, логика за 300

    • Asylum

      18.05.2017 at 14:55

      Думаю в трактовать нужно так — юзер не сидит вконтактике, а работает. Что позволит собрать с компьютера данные

  3. Il

    21.05.2017 at 01:31

    У пользователя тормозит браузер. Неужели он от этого будет больше работать?

Оставить мнение