С марта 2017 года Wikileaks публикует дамп под кодовым названием Vault 7, содержащий подробности работы Центрального разведывательного управления (ЦРУ) США. Бумаги, описывающие самые разные хакерские инструменты и техники правительства, были переданы в распоряжение ресурса неизвестным информатором.
На этой неделе ресурс рассказал о проекте Imperial, в состав которого входят инструменты Achilles, Aeris и SeaPea. Опубликованная документация датирована 2011 годом и рассказывает, что каждый из трех инструментов предназначается для атак на определенные ОС.
Achilles позволял сотрудникам ЦРУ внедрять малварь в состав легитимных приложений для macOS (тогда еще OS X), а именно заражать ею файлы инсталляторов .dmg. Одностраничная инструкция объясняет, что после заражения файл .dmg установит как оригинальное приложения, так и вредоносный пейлоад, который затем будет удален из состава .dmg. Таким образом, инструмент Achilles предназначался для единоразовой доставки малвари в систему, при этом не забывая о том, что малварь должна оставаться незамеченной.
Aeris, в свою очередь, является имплантом (малварью) для POSIX-систем. Согласно документации, он написан на C и предназначается для извлечения собранных другими инструментами данных с зараженного хоста. Как правило, передача информации осуществляется через защищенные TLS-каналы. Инструкция гласит, что Aeris будет работать со следующими ОС:
- Debian Linux 7 (i386)
- Debian Linux 7 (amd64)
- Debian Linux 7 (ARM)
- Red Hat Enterprise Linux 6 (i386)
- Red Hat Enterprise Linux 6 (amd64)
- Solaris 11 (i386)
- Solaris 11 (SPARC)
- FreeBSD 8 (i386)
- FreeBSD 8 (amd64)
- CentOS 5.3 (i386)
- CentOS 5.7 (i386)
SeaPea – это руткит для macOS. Инструкция к этому инструменту (версии 2.0) ранее уже была опубликована на Wikileaks, в составе мартовского дампа «Темная материя» (Dark Matter), который рассказывал о наборе решений для компрометации Mac и iPhones. Так, в бумагах был упомянут DarkSeaSkies – имплантат, «вживляющийся» в EFI на Apple MacBook Air и содержащий инструменты DarkMatter, SeaPea и NightSkies, для EFI, пространства ядра и пространства пользователя, соответственно.
Новые бумаги повествуют о SeaPea 4.0, однако суть работы инструмента не изменилась. SeaPea по-прежнему представляет собой руткит, который гарантирует скрытное и устойчивое присутствие в системе и запуск других вредоносов. Документация гласит, что инструмент тестировался с Mac OS X 10.6 (Snow Leopard) и Mac OS X 10.7 (Lion), то есть даже инструкции для версии 4.0 сильно устарели.