В марте 2017 года сайт Wikileaks начал публикацию большого дампа под кодовым названием Vault 7, содержавшего подробности работы Центрального разведывательного управления (ЦРУ) США. Первая публикация вышла под названием «Год зеро» (Year Zero) и содержала 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли.

В итоге достоянием общественности стала информация о хакерском арсенале ЦРУ, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня и так далее. Само кибероружие при этом опубликовано не было, но документация проливала свет на конкретные техники и методы спецслужб, давала понять, какие уязвимости имеются в арсенале ЦРУ, и рассказывала, например, о том, что даже «умный» телевизор может шпионить за своим владельцем.

С марта по август 2017 года под грифом Vault 7 почти каждую неделю выходили новые публикации, в деталях повествующие о работе хакеров ЦРУ и их инструментах. Однако Wikileaks обнародовала именно документацию (пусть зачастую и секретную), но не показывала сами инструменты и исходные коды. Еще в марте Джулиан Ассанж провел онлайновую пресс-конференцию, в ходе которой пояснил, что вначале Wikileaks должна дать фору производителям и поделиться подробностями и исходными кодами с крупными вендорами, уязвимости в продуктах которых и эксплуатируют спецслужбы. «После этого, когда мы “разоружим” эти программы, удалив из них критические компоненты, мы опубликуем дополнительные детали случившегося», — обещал тогда Ассандж.

В ночь с 9 на 10 ноября 2017 года Wikileaks начала претворять это обещание в жизнь. Портал анонсировал новую серию публикаций, которая получила название Vault 8. Под этим именем Wikileaks будет выкладывать исходные коды правительственной малвари и инструментов, о которых ранее повествовал цикл Vault 7.

Первые исходники уже были обнародованы. Начало Vault 8 положил тулкит Hive, это фреймворк предназначенный для управления имплантами (так на языке спецслужб называют малварь) на зараженных компьютерах.

Вряд ли будет преувеличением, если сказать, что в связи с анонсом Vault 8, ИБ-специалисты по всему миру замерли в предвкушении и в то же время приготовились к худшему. Ведь совсем недавно мы уже столкнулись с последствиями открытой публикации исходных кодов инструментов спецслужб. Разумеется, речь идет о дампе, опубликованном группировкой The Shadow Brokers. Напомню, что в апреле 2017 года хакеры выложили в открытом доступе целую коллекцию исходных кодов хакерских инструментов и эксплоитов, украденных у АНБ. И именно на базе этих решений и с применением этих эксплоитов были построены нашумевшие атаки WannaCry, NotPetya и Bad Rabbit.

Интересно, что в дампе The Shadow Brokers содержался инструмент очень похожий на Hive, это FuzzBunch. Стоит отметить, что сами по себе Hive и FuzzBunch не представляют какой-либо угрозы для пользователей, но такие решения могут стать прочной основой для инфраструктуры, которая осуществляет доставку и контроль самой разнообразной малвари. Напомню, что в публикациях цикла Vault 7 немало рассказывалось и о таких «атакующих», более опасных вредоносах, к примеру, Aeris, SeaPea, DarkSeaSkies, Archimedes, Brutal Kangaroo и CherryBlossom (почитать о них подробнее можно по тэгу Vault 7). Остается надеяться, что Wikileaks действительно «разоружит» исходные коды таких инструментов перед публикацией и не спровоцирует новую эпидемию, подобную WannaCry.

Также нельзя не отметить, что в исходных кодах Hive был обнаружен очень интересный нюанс. Оказалось, что для маскировки своей деятельности Hive использовал поддельные цифровые сертификаты, выдавая себя за… «Лабораторию Касперского». Таким образом, для системного администратора, изучающего логи, подозрительный трафик, идущий от малвари в сети его организации, выглядел как странная активность, напрямую связанная с «Лабораторией Касперского» и ее продуктами.

Евгений Касперский уже сообщил в своем твиттере, что специалисты «Лаборатории Касперского» проверили эту информацию и пришли к выводу, что сертификаты действительно были подделкой, то есть пользователи, сервисы и приватные ключи компании никак не пострадали.

 



7 комментариев

  1. ismayil112

    10.11.2017 at 09:56

    Думаю что после валут 8 не будет эпидемии как вонокрай… Потому что Джульиан не вчерашний мальчик)

    • HL3

      10.11.2017 at 13:18

      Проблема в том, что даже если все будут знать как защитится, то не все будут защищаться.

      Вонакрай тоже базировалась на уже известной уязвимости и поразила только системы не обновленные до последних версий, с устаревшей защитой. Как оказалось, очень многие не следят за безопасностью и не обновляются.

      Вангую новую волну, поражающую слоупоков.

  2. Il

    12.11.2017 at 13:14

    А я считаю, пусть выкладывают как есть. Про EternalBlue было уже известно, но неПетр, тем не менее, успешно сделал свое черное дело. И только после этого все зашевелились и заговорили о безопасности. Пока компанию беды обходят стороной она не будет делать ничего для защиты своей сети.

  3. 4dm1n1str4t0r

    15.11.2017 at 21:38

    Кстати, на Касперского свалить удобнее всего(как бы странно не звучало, но он считается самым надёжным и мощным антивирусом).
    Если так подумать, то это моя тактика.
    Делать приложение, а лучше антивирь… И конечно же патчи безопас… Кода.
    Никакой другой антивирь не орёт… Файлы то битые. А мы вытесняем аваст,др веб или касперского или что-нибудь ещё. Всё!

  4. john_

    17.11.2017 at 16:56

    Интересно, когда нибудь прусы на Евгения найдут реальные?

  5. rapedbyflash

    21.11.2017 at 04:03

    Rebels in Control!!!
    Ура!! Да здравствуют «высокие» технологии!!!
    Я не заметил ни одного из перечисленных вирусов в своей системе , даже в облаках, без заплаток. Спасли элементарные средства гигиены и понимание системы, которую я сам и устанавливал и настраивал.
    Не могу понять, почему «Хакеры» так радуются, когда спасли такие «великие» достижения работы менеджеров по продажам, как базы контрагентов, хранящиеся в избыточных базах, типа MS SQL И «Дороголюбимого» всеми нами 1с от вездесущего американского правительства.
    По мне, так в в 21 веке, той версии, что я вижу сейчас, охрана информации, это способ показать, что она вообще чего-либо стоит. А раз хакеры сами работают на корпорации и плодят эти массивы мусора, то грош цена такому «Технологическому сообществу».
    Отдельной минуты молчания достойны наши «высокотехнологические» разработки в области мобильных устройств.
    Rebels in Control???

Оставить мнение