Хакер #305. Многошаговые SQL-инъекции
В марте 2017 года сайт Wikileaks начал публикацию большого дампа под кодовым названием Vault 7, содержавшего подробности работы Центрального разведывательного управления (ЦРУ) США. Первая публикация вышла под названием «Год зеро» (Year Zero) и содержала 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли.
В итоге достоянием общественности стала информация о хакерском арсенале ЦРУ, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня и так далее. Само кибероружие при этом опубликовано не было, но документация проливала свет на конкретные техники и методы спецслужб, давала понять, какие уязвимости имеются в арсенале ЦРУ, и рассказывала, например, о том, что даже «умный» телевизор может шпионить за своим владельцем.
С марта по август 2017 года под грифом Vault 7 почти каждую неделю выходили новые публикации, в деталях повествующие о работе хакеров ЦРУ и их инструментах. Однако Wikileaks обнародовала именно документацию (пусть зачастую и секретную), но не показывала сами инструменты и исходные коды. Еще в марте Джулиан Ассанж провел онлайновую пресс-конференцию, в ходе которой пояснил, что вначале Wikileaks должна дать фору производителям и поделиться подробностями и исходными кодами с крупными вендорами, уязвимости в продуктах которых и эксплуатируют спецслужбы. «После этого, когда мы “разоружим” эти программы, удалив из них критические компоненты, мы опубликуем дополнительные детали случившегося», — обещал тогда Ассандж.
В ночь с 9 на 10 ноября 2017 года Wikileaks начала претворять это обещание в жизнь. Портал анонсировал новую серию публикаций, которая получила название Vault 8. Под этим именем Wikileaks будет выкладывать исходные коды правительственной малвари и инструментов, о которых ранее повествовал цикл Vault 7.
Первые исходники уже были обнародованы. Начало Vault 8 положил тулкит Hive, это фреймворк предназначенный для управления имплантами (так на языке спецслужб называют малварь) на зараженных компьютерах.
Вряд ли будет преувеличением, если сказать, что в связи с анонсом Vault 8, ИБ-специалисты по всему миру замерли в предвкушении и в то же время приготовились к худшему. Ведь совсем недавно мы уже столкнулись с последствиями открытой публикации исходных кодов инструментов спецслужб. Разумеется, речь идет о дампе, опубликованном группировкой The Shadow Brokers. Напомню, что в апреле 2017 года хакеры выложили в открытом доступе целую коллекцию исходных кодов хакерских инструментов и эксплоитов, украденных у АНБ. И именно на базе этих решений и с применением этих эксплоитов были построены нашумевшие атаки WannaCry, NotPetya и Bad Rabbit.
Интересно, что в дампе The Shadow Brokers содержался инструмент очень похожий на Hive, это FuzzBunch. Стоит отметить, что сами по себе Hive и FuzzBunch не представляют какой-либо угрозы для пользователей, но такие решения могут стать прочной основой для инфраструктуры, которая осуществляет доставку и контроль самой разнообразной малвари. Напомню, что в публикациях цикла Vault 7 немало рассказывалось и о таких «атакующих», более опасных вредоносах, к примеру, Aeris, SeaPea, DarkSeaSkies, Archimedes, Brutal Kangaroo и CherryBlossom (почитать о них подробнее можно по тэгу Vault 7). Остается надеяться, что Wikileaks действительно «разоружит» исходные коды таких инструментов перед публикацией и не спровоцирует новую эпидемию, подобную WannaCry.
Также нельзя не отметить, что в исходных кодах Hive был обнаружен очень интересный нюанс. Оказалось, что для маскировки своей деятельности Hive использовал поддельные цифровые сертификаты, выдавая себя за... «Лабораторию Касперского». Таким образом, для системного администратора, изучающего логи, подозрительный трафик, идущий от малвари в сети его организации, выглядел как странная активность, напрямую связанная с «Лабораторией Касперского» и ее продуктами.
Евгений Касперский уже сообщил в своем твиттере, что специалисты «Лаборатории Касперского» проверили эту информацию и пришли к выводу, что сертификаты действительно были подделкой, то есть пользователи, сервисы и приватные ключи компании никак не пострадали.
We've investigated the Vault 8 report and confirm the certificates in our name are fake. Our customers, private keys and services are safe and unaffected
— Eugene Kaspersky (@e_kaspersky) November 9, 2017