С марта 2017 года Wikileaks публикует дамп под кодовым названием Vault 7, содержащий подробности работы Центрального разведывательного управления (ЦРУ) США. Бумаги, описывающие самые разные хакерские инструменты и техники правительства, были переданы в распоряжение ресурса неизвестным информатором.

На этой неделе ресурс рассказал о проекте Imperial, в состав которого входят инструменты Achilles, Aeris и SeaPea. Опубликованная документация датирована 2011 годом и рассказывает, что каждый из трех инструментов предназначается для атак на определенные ОС.

Achilles позволял сотрудникам ЦРУ внедрять малварь в состав легитимных приложений для macOS (тогда еще OS X), а именно заражать ею файлы инсталляторов .dmg. Одностраничная инструкция объясняет, что после заражения файл .dmg установит как оригинальное приложения, так и вредоносный пейлоад, который затем будет удален из состава .dmg. Таким образом, инструмент Achilles предназначался для единоразовой доставки малвари в систему, при этом не забывая о том, что малварь должна оставаться незамеченной.

Aeris, в свою очередь, является имплантом (малварью) для POSIX-систем. Согласно документации, он написан на C и предназначается для извлечения собранных другими инструментами данных с зараженного хоста. Как правило, передача информации осуществляется через защищенные TLS-каналы. Инструкция гласит, что Aeris будет работать со следующими ОС:

  • Debian Linux 7 (i386)
  • Debian Linux 7 (amd64)
  • Debian Linux 7 (ARM)
  • Red Hat Enterprise Linux 6 (i386)
  • Red Hat Enterprise Linux 6 (amd64)
  • Solaris 11 (i386)
  • Solaris 11 (SPARC)
  • FreeBSD 8 (i386)
  • FreeBSD 8 (amd64)
  • CentOS 5.3 (i386)
  • CentOS 5.7 (i386)

SeaPea – это руткит для macOS. Инструкция к этому инструменту (версии 2.0) ранее уже была опубликована на Wikileaks, в составе мартовского дампа «Темная материя» (Dark Matter), который рассказывал о наборе решений для компрометации Mac и iPhones. Так, в бумагах был упомянут DarkSeaSkies – имплантат, «вживляющийся» в EFI на Apple MacBook Air и содержащий инструменты DarkMatter, SeaPea и NightSkies, для EFI, пространства ядра и пространства пользователя, соответственно.

Новые бумаги повествуют о SeaPea 4.0, однако суть работы инструмента не изменилась. SeaPea по-прежнему представляет собой руткит, который гарантирует скрытное и устойчивое присутствие в системе и запуск других вредоносов. Документация гласит, что инструмент тестировался с Mac OS X 10.6 (Snow Leopard) и Mac OS X 10.7 (Lion), то есть даже инструкции для версии 4.0 сильно устарели.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии