С марта 2017 года Wikileaks публикует огромный архив секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, который ранее «утек» у спецслужб и оказался в распоряжении ресурса. Публикации выходят под грифом Vault 7 и рассказывают о самых разных инструментах и техниках.
Новая публикация получила название Athena – по названию одноименного процента ЦРУ. Athena — это имплант (а говоря проще – малварь), который используется для заражения практически любых Windows-систем, начиная от Windows XP и заканчивая Windows 10. Опубликованные бумаги датированы сентябрем 2015 и февралем 2016 года. Фактически они демонстрируют, что ЦРУ научилось ломать Windows 10 совсем скоро после официального релиза новейшей ОС Microsoft.
Согласно бумагам, на техническом уровне написанная на Python Athena мало отличается от других инструментов в арсенале спецслужб. Так, в распоряжении сотрудников ЦРУ имеется билдер, с помощью которого можно конструировать различные пейлоады малвари. Так, пейлоад может предназначаться для работы с управляющим сервером, в оффлайне, или режиме «только RAM», то есть малварь получится «бесфайловой».
Для доставки полученного образчика Athena на машину цели могут использоваться самые разные методики, от классического фишинга, до компрометации логистической цепочки или физического внедрения во время «полевых операций».
После заражения системы малварь связывается с C&C-сервером и получает дальнейшие инструкции по скачиванию дополнительных пейлоадов, которые необходимы для слежения за целью или, к примеру, хищения данных.
Судя по опубликованным документам, Athena работает в связке с другой системой, которая называется Hera, однако никакой информации о ней пока практически нет.
Еще один интересный нюанс, на который проливают свет документы ЦРУ: данная малварь была разработана не in-house, в создании Athena ЦРУ помогала американская компания Siege Technologies, о поглощении которой в конце 2016 года объявила Nehemiah Security.