wikileaks Автор WikiLeaks (wikileaks)

міжнародна некомерційна організація, яка публікує секретну інформацію, взяту з анонімних джерел або при витоку цієї інформації. Творці сайту, який був запущений в 2006 році організацією Sunshine Press, заявили, що мають інформаційну базу в 1,2 мільйона документів, які вони зібрали за перший рік існування сайту. Засновником, головним редактором і директором WikiLeaks є австралійський інтернет-журналіст і телеведучий Джуліан Ассанж. Контактиhttps://twitter.com/wikileaks?lang=ru https://wikileaks.org/



Прес-реліз Wikileaks



7 березня 2017 року сайт Wikileaks почав публікацію нової серії секретних документів Центрального розвідувального управління США. Ця колекція документів, що отримала від Wikileaks назву «Vault7» ( «Сховище №7»), є найбільшою серією конфіденційних документів про ЦРУ.



Перша частина колекції — «Year Zero» — містить 8761 файлів з ізольованої мережі з високим ступенем захисту, яка знаходиться в Центрі кіберрозвідки ЦРУ в Ленглі, штат Вірджинія. Це продовження тих витоків, які були опубліковані в лютому і які стосувалися операцій ЦРУ, спрямованих проти французьких політичних партій і кандидатів в переддень президентських виборів у Франції в 2012 році.



Нещодавно ЦРУ втратило контроль над основною частиною свого хакерського арсеналу, включаючи шкідливі програми, віруси, трояни, перетворені на зброю 0day-експлойти («zero-day»), системи віддаленого контролю шкідливих програм і відповідна документація. Цей неймовірний витік, що включає в себе кілька сотень мільйонів рядків коду, надає своєму власникові повний хакерський арсенал ЦРУ. Цей архів, скоріш за все, поширювався несанкціонованим чином серед колишніх хакерів американського уряду і його підрядників, один з яких передав WikiLeaks частину цього архіву.





Year Zero демонструє справжній масштаб і напрямок глобальної секретної хакерської програми ЦРУ, його арсенал шкідливих програм і десятки 0day-експлойтів, які застосовувалися проти широкого спектра американських і європейських пристроїв і продуктів, включаючи iPhone компанії Apple, Android компанії Google, Windows компанії Microsoft і навіть телевізори компанії Samsung, які перетворювалися в мікрофони для запису розмов.



З 2001 року ЦРУ користується політичною і бюджетною перевагою над Агентством національної безпеки США. Стало відомо, що ЦРУ створювало не тільки свій сумнозвісний флот безпілотників, але й секретні сили світового масштабу зовсім іншого роду: власну численну армію хакерів. Хакерський відділ ЦРУ звільняв це агентство від необхідності повідомляти про свої часто суперечливі операції АНБ (його головному бюрократичному супернику), щоб користуватися хакерських потенціалом АНБ.



Штаб-квартира АНБ, Меріленд

До кінця 2016 року хакерський відділ ЦРУ, який формально входить до складу Центру кіберрозвідки цього агентства, налічував понад 5 тисяч зареєстрованих користувачів і зумів створити понад тисячу хакерських систем, троянів, вірусів і інших шкідливих програм, перетворених на зброю. Масштаби операцій цього відділу ЦРУ були настільки великими, що до 2016 року сумарний розмір їх шкідливих програм перевищив розмір коду, яким керується Facebook. Таким чином, ЦРУ створило свою власну «АНБ», яке не звітувало практично ні перед ким, і агентству не потрібно було публічно відповідати на питання про те, чим можна виправдати величезні витрати на утримання такої конкуруючої структури.



У своїй заяві, направленій в WikiLeaks, джерело пише про ті питання, які необхідно терміново винести на публічне обговорення, включаючи питання про те, чи не перевищує хакерський потенціал ЦРУ ті повноваження, якими воно наділене, а також проблему громадського контролю над цим агентством. Джерело хоче ініціювати публічні дискусії з питань безпеки, створення, використання, поширення та демократичного контролю над кіберзброєю.



У тому випадку якщо агентство втратить контроль над тою чи іншою кіберзброєю, воно пошириться по всьому світу протягом декількох секунд і зможе бути використано державами-противниками, кібер-мафією і навіть хакерами-підлітками.





Редактор WikiLeaks Джуліан Ассанж (Julian Assange) заявив: «Існує великий ризик витоку в сфері розробки кіберзброї. Неконтрольоване розповсюдження такої «зброї», що випливає з неможливості стримувати її і її висока ринкова вартість, — все це можна порівняти з міжнародною торгівлею зброєю. Однак значення Year Zero виходить далеко за рамки вибору між кібервійною і кібермиром. Ці витоки мають виняткове значення з політичної, правової та експертної точок зору».



Wikileaks ретельно проаналізував Year Zero і опублікував значну частину документації ЦРУ, не допустивши при цьому поширення «бойової» кіберзброї до моменту виникнення консенсусу з приводу технічної та політичної природи програми ЦРУ і методики того, як така «зброя» має аналізуватися, утилізуватися і публікуватися.



Wikileaks також прийняв рішення відредагувати ідентифікаційну інформацію в Year Zero для детального аналізу. Серед даних, які були викреслені, виявилися дані про десятки тисяч атакуючих і атакованих систем в Латинській Америці, Європі та США. Хоча нам відомо про небездоганність результатів будь-якого підходу, ми зберігаємо вірність нашій видавничій моделі і відзначаємо, що кількість опублікованих сторінок першої частини «Vault 7» (Year Zero) вже перевищує загальне число сторінок документів АНБ, переданих Wikileaks Едвардом Сноуденом і опублікованих за перші три роки.



Аналіз



Шкідливі програми ЦРУ атакують iPhone, Android і телевізори SmartTV



Хакерські програми і інструменти ЦРУ створює так звана Група інженерних розробок (Engineering Development Group, EDG), що працює в складі Центру кіберрозвідки, що підкоряється Директорату цифрових інновацій (Directorate of Digital Innovation, DDI). DDI — це один з п'яти основних директоратів сучасного ЦРУ.



The logo of the CIA's Engineering Development Group (EDG)

EDG відповідає за розробку, випробування і операційну підтримку всіх бекдорів, експлойтів, троянів, вірусів та інших різновидів шкідливих програм, що використовуються ЦРУ в його прихованих операціях по всьому світу.



Наростаюча складність технологій стеження викликає в свідомості образ 1984 року Джорджа Оруелла, проте «Weeping Angel» («Ангел, що плаче»), який був розроблений Відділом інтегрованих пристроїв (Embedded Devices Branch (EDB)) і який заражає телевізори SmartTV, перетворюючи їх у приховані мікрофони, є його найяскравішою реалізацією.





Атака на «розумні» телевізори компанії Samsung була проведена у співпраці з MI5 / BTSS Сполученого Королівства. Після зараження телевізора, «Weeping Angel» вводить його в стан уявного відключення, щоб його власник вважав його вимкненим, хоча насправді телевізор включений. У такому режимі телевізор виконує функцію пристрою для підслуховування, записуючи розмови в приміщенні і відправляючи їх по інтернету на секретний сервер ЦРУ.



The logo of MI5

У жовтні 2014 року ЦРУ намагалося знайти способи заражати шкідливими програмами системи контролю сучасних автомобілів і вантажівок. Мета встановлення такого контролю поки не зрозуміла, проте це, можливо, дозволило б ЦРУ здійснювати вбивства, які неможливо розкрити.



Відділ мобільних пристроїв (Mobile Devices Branch, MDB) розробив численні програми для злому і контролю над популярними смартфонами, що відкривають доступ до даних геолокації, аудіо та смс-повідомлень користувача, а також таємно активують їх камеру і мікрофон.





Незважаючи на те, що частка iPhone на світовому ринку смартфонів не так велика (14,5%), спеціалізований підрозділ в MDB створює шкідливі програми, що дозволяють заражати, контролювати і викрадати дані з iPhones та інших продуктів компанії Apple, на яких стоїть iOS, таких як iPad.



В арсенал ЦРУ входить безліч «вразливостей нульового дня», розроблених ЦРУ, запозичених у Центру урядового зв'язку, АНБ і ФБР або придбаних у таких розробників кіберзброї, як Baitshop. Така увага до системи iOS, можливо, пояснюється популярністю iPhone серед представників соціальної, політичної, дипломатичної та ділової еліти.



Є ще один підрозділ, який спеціалізується на ОС Android компанії Google, встановленої в більшості смартфонів світових виробників, включаючи Samsung, HTC та Sony. У минулому році в світі було продано 1,15 мільярда смартфонів на базі ОС Android. Документи Year Zero показують, що в 2016 році у ЦРУ вже було 24 «воєнізованих» 0day-експлойта, які воно розробило самостійно або придбало у Центру урядового зв'язку, АНБ або у підрядників.





Ці технології дозволяють на системному рівні обходити захист популярних «захищених» месенджерів, таких як Telegram, WhatsApp, Signal, Wiebo, Confide і Cloackman, зламуючи смартфони і викрадаючи аудіо- та текстові повідомлення ще до того, як вони піддалися кодуванню.



Шкідливі програми ЦРУ атакують Windows, OSx, Linux, маршрутизатори



ЦРУ також прикладає масу зусиль для того, щоб заражати своїми шкідливими програмами і контролювати системи користувачів Microsoft Windows. Серед необхідних для цього інструментів можна назвати численні місцеві та віддалені «воєнізовані» 0day-експлойти, такі віруси, як Hammer Drill, які заражають дані, що зберігаються на CD/DVD, віруси для USB-накопичувачів, програми для маскування даних в файлах зображень і в прихованих областях жорстких дисків (Brutal Kangaroo) і для забезпечення подальшого зараження.



Більшу частину цих завдань виконує Відділ автоматизованих імплантатів (Automated Implant Branch, AIB), який розробив кілька атакуючих систем для автоматичного зараження і контролю, таких як Assassin і Medusa.



Атаками на інфраструктуру інтернету і веб-сервери займається Відділ мережевих пристроїв (Network Devices Branch, NDB.



ЦРУ розробив автоматизовані багатоплатформні системи для зараження і встановлення контролю над Windows, Mac OS X, Solaris, Linux і так далі, такі як HIVE і пов'язані з нею Cutthroat («Головоріз») і Swindle («Махінатор»), які описуються нижче.



«Накопичені» вразливості ЦРУ («вразливість нульового дня»)





Після викриттів Едварда Сноудена, що стосувалися діяльності АНБ, американська технологічна індустрія взяла з адміністрації Обами обіцянку повідомляти в оперативному порядку виробникам, таким як Apple, Google і Microsoft, про всі виявлені серйозні вразливості, експлойти, баги і «вразливості нульового дня».



Серйозні вразливості, про які не було повідомлено виробникам, піддають безліч громадян і об'єктів ключової інфраструктури ризику стати жертвами іноземної розвідки або кібер-злочинців, які самі виявлять ці вразливості або почують про них від інших. Якщо ЦРУ може виявити ці вразливості, те ж саме можуть зробити і інші.



Введені адміністрацією президента США Барака Обами зобов'язання по розкриттю виробникам пристроїв ключових вразливостей (Vulnerabilities Equities Process) стали результатом потужної лобістської кампанії американських технологічних компаній, які ризикують втратити свою частку на світовому ринку через реальні та передбачувані вразливості. Уряд пообіцяв в оперативному порядку повідомляти про всі виявлені ним після 2010 року вразливості.



Документи Year Zero показують, що ЦРУ порушило обіцянку адміністрації Обами. Безліч вразливостей, які перебувають в арсеналі ЦРУ, є широко розповсюдженими і могли бути виявлені розвідувальними агентствами інших країн або кіберзлочинцями.



Приміром, одна зі шкідливих програм ЦРУ, про які йдеться в Year Zero, здатна проникати, заражати і контролювати і телефони на базі ОС Android, і програмне забезпечення iPhone, з яких ведуться або велися президентські Twitter-аккаунти. ЦРУ атакує ці системи завдяки впазливостям (нульового дня), про які ЦРУ не повідомило виробникам. Але, якщо ЦРУ може зламувати ці телефони, те ж саме може зробити той, хто якимось чином виявить цю вразливість. Поки ЦРУ приховує ці вразливості від Apple і Google, які виробляють смартфони, їх неможливо усунути, і ці смартфони можна буде зламувати і далі.



Ці ризики стосуються населення в цілому, включаючи членів адміністрації США, Конгресу, глав провідних корпорацій, системних адміністраторів, експертів з безпеки і інженерів. Приховуючи вразливості від таких виробників, як Apple і Google, ЦРУ гарантує собі можливість зламувати кого завгодно, одночасно піддаючи всіх небезпеці бути зламаними.



Програми «кібервійни» несуть в собі серйозний ризик поширення кіберзброї



Кіберзброю неможливо тримати під ефективним контролем.



У той час як поширення ядерної зброї виходить стримувати за допомогою величезних витрат і за рахунок масштабної інфраструктури, кіберзброю, з моменту її створення, вкрай складно контролювати.



Кіберзброя являє собою всього лише комп'ютерні програми, які можна вкрасти. Оскільки вони повністю складаються з даних, їх можна скопіювати, не витративши при цьому жодних зусиль.



ScreetShot з IRC каналу EFnet #darknet, де торгують експлойтами

Зберегти таку «зброю» особливо важко, тому що ті люди, які її розробляють і застосовують, володіють всіма необхідними навичками для того, щоб скопіювати її, не залишивши слідів — часом використовуючи ту ж саме «кіберзброю» проти організацій, які її надають. Висока ціна таких програм — це потужний стимул для урядових хакерів і консультантів, оскільки існує цілий глобальний «ринок вразливостей», де за копії такої кіберзброї можуть заплатити від кількох сотень доларів до кількох мільйонів. Підрядники і компанії, які отримують таку зброю часом використовують її для своїх власних цілей, набуваючи переваги над своїми конкурентами в продажу «хакерських» послуг.





В останні три роки розвідувальний сектор США, що складається з таких урядових агентств, як ЦРУ і АНБ, і їх підрядників, таких як Booz Allan Hamilton, ставав жертвою безпрецедентної кількості витоків, за якими стояли їхні власні співробітники.



Кілька представників розвідувального співтовариства, чиї імена поки не розкриваються, вже були заарештовані або піддалися кримінальному переслідуванню.





Найпомітнішим випадком став вирок, винесений Гарольду Мартіну (Harold T. Martin), який був визнаний винним по 20 пунктам, пов'язаних з розголошенням інформації з обмеженим доступом. Міністерство юстиції повідомило, що йому вдалося перехопити у Гарольда Мартіна 50 гігабайтів інформації, до якої він мав доступ в ході роботи над секретними програмами АНБ і ЦРУ, включаючи нескомпільований код для безлічі хакерських інструментів.



Як тільки одна «кіберзброя» виходить з-під контролю, вона може поширитися по всьому світу протягом декількох секунд, і нею можуть скористатися інші держави, кібермафія і навіть хакери-підлітки.



Консульство США у Франкфурті — це таємна хакерська база ЦРУ



Крім своєї діяльності в Ленглі, штат Вірджинія, ЦРУ також використовує консульство США у Франкфурті-на-Майні в якості секретної бази для хакерів, об'єктами якої є Європа, Близький Схід і Африка.



Хакерам ЦРУ, які працюють з території консульства у Франкфурті («Європейський центр кібернетичної розвідки» або CCIE), видаються дипломатичні («чорні») паспорта та забезпечується прикриття держдепартаменту США. Судячи з тексту інструкцій для хакерів-початківців, дії контррозвідки Німеччини можуть здатися несуттєвими: «Знаючи свою легенду напам'ять, ви проходите через німецьку митницю швидко, і єдине, що вони роблять — це ставлять штамп у вашому паспорті».

Ваша легенда (на час цієї поїздки)


  • Питання: З якою метою ви тут знаходитеся?
  • Відповідь: Беру участь у проведенні технічних консультацій для консульства.

У двох попередніх публікаціях WikiLeaks пропонує більш докладний опис методів, що застосовуються ЦРУ під час проходження митного контролю і повторного огляду.



Прибувши до Франкфурта, хакери ЦРУ можуть їздити без додаткових перевірок на кордоні в 25 європейських країн, що входять до Шенгенської зони, в якій скасовано паспортний та імміграційний контроль на спільних кордонах — у тому числі до Франції, Італії та Швейцарії.



Деякі методи електронної атаки, якими користується ЦРУ, призначені для роботи в умовах безпосередньої близькості до об'єкту. Ці методи атаки дозволяють проникати в мережі з високим рівнем захисту від несанкціонованого доступу, які відключені від інтернету — наприклад, бази даних поліції про судимості та приводи. У цих випадках співробітник або агент ЦРУ, або співробітник розвідки ОВС НАТО, який діє відповідно до інструкцій, в фізичному сенсі проникає в комп'ютерну систему, яка представляє інтерес, на робочому місці. Зловмисник має при собі USB-накопичувач, що містить шкідливу програму, розроблену для цієї мети на замовлення ЦРУ, яка вставляється в комп’ютер, який представляє інтерес. Потім зловмисник заражає і негайно викачує дані на носій. Наприклад, система Fine Dining, яку використовує Центральне розвідувальне управління, дозволяє агентам ЦРУ використовувати 24 додатка, які служать маскуванням для відволікання уваги присутніх свідків. Цим свідкам здається, що агент запускає програму перегляду відеороликів (наприклад, VLC), демонструє слайди (Prezi), грає в комп'ютерну гру (Breakout2, 2048) або навіть проганяє антивірусну програму (Касперський, McAfee, Sophos). Але поки «відволікаючий» додаток відображається на екрані, в дійсності відбувається автоматичне зараження комп'ютерної системи, її перегляд і копіювання інформації.



Як ЦРУ різко підвищило небезпеку поширення кіберзброї



Для досягнення своїх цілей, які, безумовно, є одними з найбільш приголомшливих на пам'яті живих, ЦРУ організувало свій секретний режим таким чином, що в цілому, в плані ринкової цінності проекту «Vault 7» — шкідливого програмного забезпечення, використовуваного Управлінням як інструмент для досягнення цих цілей (вкладені програми + вразливості «нульового дня»), пости перехоплення інформації (LP), а також системи управління і контролю (С2) — особливих правових механізмів (законних підстав) у ЦРУ немає.



Те, чому ЦРУ вирішило не засекречувати свій кіберарсенал, свідчить про те, що концепції, розроблені для використання у військових цілях, досить складно застосовувати на «полях битв» в рамках кібернетичної «війни».



Щоб атакувати свої цілі, ЦРУ, як правило, необхідно, щоб його вбудовані коди комунікувалися із своїми додатками управління через інтернет. Якби всі програми, які використовуються ЦРУ (вбудовані коди, С2 і пости перехоплення інформації), були засекречені, тоді співробітників ЦРУ можна було б залучати до відповідальності або звільняти за порушення правил, що забороняють розміщення секретної інформації в інтернеті. Тому ЦРУ таємно вирішило не засекречувати більшість своїх програм, що використовуються для ведення кібершпіонажу / кібервійни. Уряд США не може зробити їх предметом свого авторського права через обмеження, які передбачені конституцією США. Це означає, що творці кіберзброї і комп'ютерні хакери, отримавши доступ до цієї «зброї», зможуть вільно «піратствувати», незаконно копіюючи її. Для захисту своїх секретних шкідливих програм ЦРУ раніше доводилося вдаватися до маскування даних.



Звичайні озброєння, такі як ракети, можна запускати для нанесення удару по ворогу (тобто, запускати на незахищену територію). Близьке розташування цілі або контакт з нею створюють умови для детонації і вибуху боєприпасу — в тому числі і його секретної частини. Отже, військові не порушують вимог секретності, стріляючи боєприпасами, що містять секретні деталі. Боєприпас, швидше за все, вибухне. Якщо ж ні, то це відбудеться не з вини навідника і всупереч його бажанню.



В останнє десятиліття кібератаки, що проводяться Сполученими Штатами, маскують, використовуючи військовий жаргон, щоб отримати доступ до потоків фінансування, які направляються на потреби Міністерства оборони. Наприклад, вжиті «ін'єкції шкідливих програм» (комерційний жаргон) або «закладка програми» (жаргон АНБ) називають «обстрілом» — так, немов, здійснювалася стрільба з гармат або пуск ракет. Однак така аналогія є сумнівною.



На відміну від куль, бомб або ракет, більшість шкідливих програм ЦРУ призначені для того, щоб «продовжувати жити» протягом декількох днів або навіть років після досягнення своєї «цілі». Шкідливі програми ЦРУ не «вибухають», потрапивши в ціль, а, скоріше, постійно її заражають. Для того щоб заразити пристрій, необхідно впровадити в цей пристрій кілька копій шкідливої програми, щоб він, в фізичному сенсі, повністю перебував в залежності від цієї шкідливої програми. Для того щоб шкідлива програма змогла витягти дані і направити їх до ЦРУ або залишатися в очікуванні подальших вказівок, вона повинна мати зв'язок з системами управління та контролю, розміщеними на серверах ЦРУ, підключених до інтернету. Але на таких серверах зазвичай секретну інформацію зберігати не дозволяється, тому системи управління і контролю ЦРУ не засекречує.



Успішна «атака» на комп'ютерну систему, яка представляє інтерес, схожа не стільки на стрілянину з використанням систем озброєнь, скільки на серію складних маневрів з активами в спробі рейдерського захоплення або на обережне розповсюдження чуток з метою отримання контролю над керівництвом організації. Якщо і можна провести порівняння з військовими діями, то ураження мети, мабуть, схоже на виконання цілої серії військових маневрів поблизу території цього об'єкта — включаючи спостереження, проникнення, окупацію і експлуатацію.



Ухилення від експертизи і дія в обхід антивірусних програм



У ряді нормативів, розроблених ЦРУ, вказані схеми зараження шкідливою програмою, які можуть допомогти експертам-криміналістам, а також фахівцям Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens і компаніям-розробникам антивірусних програм описувати хакерські атаки і забезпечувати захист від них.



В інструкції про методи проведення спеціальних заходів (Tradecraft DO's and DON'Ts) ЦРУ наводить правила написання шкідливих програм, що дозволяють не залишати ідентифікаційних міток, які дають підстави говорити про причетність «ЦРУ, уряду США, або його свідомо діючих партнерів» при проведенні «судово-криміналістичної експертизи». Схожі секретні нормативи прописані для таких видів діяльності, як використання шифрування, щоб приховати сліди хакера ЦРУ і факт поширення шкідливих програм, опис об'єктів атак і витягнутих даних, а також робота з корисними даними та присутність в системах об'єкта протягом тривалого періоду.





Хакери з ЦРУ розробили і здійснили успішні атаки в обхід більшості з найвідоміших антивірусних програм. Вони задокументовані в файлах AV defeats, Personal Security Products, Detecting and defeating PSPs і PSP / Debugger / RE Avoidance. Наприклад, антивірусну програму Comodo вдалося подолати шляхом впровадження шкідливої програми ЦРУ в «Корзину» в Windows — оскільки у Comodo 6.х є вразливість (Gaping Hole of DOOM).



Хакери ЦРУ обговорювали, яку помилку зробили хакери групи Equation Group з АНБ, і яким чином могли б уникнути подібних помилок творці шкідливих програм ЦРУ.



Приклади



В системі управління відділу технічних розробок ЦРУ (EDG) міститься близько 500 різних проектів (лише деякі з них позначені «Нульовим роком»), в кожному з яких є свої субпроекти, хакерські програми і інструменти.



Більшість цих проектів відносяться до інструментів, що використовуються для зломів, інфікування («впровадження»), контролю і вилучення.



Інша лінія розробки зосереджена на розвитку та діяльності Постів прослуховування (LP) та систем командування і контролю (С2), які використовуються для встановлення зв'язку і контролю імплантів; спеціальні проекти, які використовуються для того, щоб атакувати спеціальне обладнання, починаючи з роутерів, закінчуючи розумними телевізорами.



Деякі приклади таких проектів наведені нижче. З повним списком описаних WikiLeaks проектів в «Нульовому році» можна ознайомитися в змісті.



UMBRAGE


Невмілі хакерські прийоми ЦРУ представляють для агентства проблему. Кожен створений ним прийом утворює свого роду «відбиток пальця», який може використовуватися судовими слідчими для встановлення єдиного джерела різних атак.



Це аналогічно знаходженню слідів одного і того ж особливого ножа на тілі різних, не пов'язаних одна з одною, жертв. Унікальний спосіб нанесення ран створює підозру, що у вбивствах замішаний один і той же вбивця. Як тільки розкривається одне з вбивств в ланцюжку, інші вбивства швидше за все також можуть бути розкриті.



Група UMBRAGE збирає і зберігає значну бібліотеку технік нападу, «вкрадених» з хакерського обладнання, виробленого в інших країнах, в тому числі в Російській Федерації.



За допомогою UMBRAGE і пов'язаних з ним проектів ЦРУ може не тільки збільшити загальну кількість видів атак, але і відвести слід, залишаючи «відбитки» тих груп, чия техніка була вкрадена.



Серед компонентів UMBRAGE є кейлогери, колекція паролів, інформація з вебкамер, знищені дані, довготривале зберігання, надання привілеїв, забезпечення малопомітності, відхід від антивірусних програм (PSP) і прийомів спостереження.



Fine Dining



Fine Dining має стандартну анкету, тобто меню, яке заповнюють оперативники ЦРУ. Анкета використовується Відділом технічної підтримки агентства (OSB) для того, щоб трансформувати запити оперативників в технічні вимоги для хакерських атак (зазвичай шляхом «вилучення» інформації з комп'ютерних систем), необхідних для участі в операціях. Анкета дозволяє OSB визначити, як налагодити існуючі інструменти до операції, і передати цю інформацію співробітникам, які відповідають за конфігурацію хакерського програмного забезпечення ЦРУ. OSB функціонує як з'єднання між оперативниками ЦРУ і відповідними співробітниками відділу технічної підтримки.



У списку можливих цілей в колекції вказані «Співробітник» («Asset»), «Зв'язковий» («Liason Asset»), «Системний адміністратор» («System Administrator»), «Операції із зарубіжної інформації» («Foreign Information Operations»), «Зарубіжні розвідувальні агентства» («Foreign Intelligence Agencies») і «Зарубіжні урядові установи» («Foreign Government Entities»). Варто відзначити відсутність будь-якої інформації про екстремістів або міжнародних злочинців. «Оперативний співробітник» також повинен уточнити характеристики цілі, наприклад, тип комп'ютера, інформаційну систему, яка використовується, інтернет-зв'язок, встановлені антивірусні утиліти (PSP), а також список типів файлів, які підлягають вилученню, наприклад, документи Office, аудіо, відео, зображення або типи файлів користувача. У «меню» також запитується інформація про те, чи можливий повторний доступ до мети і як довго може підтримуватися доступ до комп'ютера, поки він не буде виявлений. Цю інформацію використовує програмне забезпечення «JQJIMPROVISE» (див. нижче) для конфігурації серії хакерських програм ЦРУ, які відповідають конкретним потребам в рамках операції.



Improvise (JQJIMPROVISE)



«Improvise» — це набір інструментів для конфігурації, післяопераційної обробки, настройки корисного навантаження і вибору вектора виконання для інструментів дослідження / вилучення, що підтримують всі основні операційні системи, такі як Windows (Bartender, «бармен»), MacOS (JukeBox, «музичний автомат») і Linux (DanceFloor, «танцмайданчик»). Його конфігураційні утиліти, наприклад, Margarita, дозволяє NOC (Операційному центру мережі) персоналізувати інструменти, спираючись на вимоги анкет «Fine Dining».


HIVE



HIVE – це багатоплатформий комплекс хакерського програмного забезпечення ЦРУ і пов'язаного з ним контролюючого програмного забезпечення. Проект забезпечує персоналізовані імпланти для Windows, Solaris, MikroTik (використовувані в інтернет-роутерах), а також технічну базу для платформ Linux і Посту прослуховування (LP) / Системи командування і контролю (С2) для здійснення зв'язку з цими імплантами.



Імпланти сконфігуровані для зв'язку за допомогою HTTPS з сервером захисного домену; кожна операція з використання цих імплантів має окремий захисний домен, а технічна база може витримати будь-яку кількість захисних доменів.



Кожен домен веде до IP-адреси комерційного провайдера VPS (віртуального приватного сервера). Загальнодоступний сервер відсилає весь вхідний трафік через VPN на сервер «Blot», який контролює справжні запити з'єднання від клієнтів. Це порядок для додаткової SSL аутентифікації клієнта: якщо він відправляє діючий клієнтський сертифікат (а це можуть зробити тільки імпланти), зв'язок передається тулсерверу «Honeycomb», який пов'язується з імплантом; якщо чинний сертифікат не надається (таке буває, якщо хтось намагається випадково відкрити сайт з захисним доменом), то трафік прямує до захисного сервера, що відправляє на сайт, який не викликає підозр.



Тулсервер Honeycomb отримує вилучену інформацію від імпланта; оператор може також дати імплантам завдання виконати роботу на заданому в якості мети комп'ютері, таким чином, тулсервер виконує функцію сервера С2 (Системи командування і контролю) для імпланта.



Подібний функціонал (хоч і обмежений Windows) забезпечує проект RickBobby. Див. Секретні інструкції користувача і розробника для HIVE.



Поширені запитання



Чому зараз?



WikiLeaks опублікував інформацію, як тільки вона була перевірена та проаналізована.



У лютому адміністрація Трампа видала президентський указ, який закликає до підготовки доповіді про «кібервійну» в 30-денний термін.



При тому що доповідь затримується і загострює важливість публікації, він не вплинув на призначення дати виходу матеріалу.



Обробка



Імена, адреси електронної пошти та зовнішні IP-адреси були змінені в опублікованих сторінках (всього 70875 змін) до завершення аналізу.



  1. Інші поправки: редакції піддалася деяка інформація, яка не стосується співробітників, виконавців, цілей та інших зв'язків з агентством; наприклад, вона стосувалася авторів документації для інших громадських проектів, задіяних агентством.
  2. Особистість vs. людина: виправлені імена замінені призначеними для користувача ID (номерами), щоб дати читачам можливість зв'язати великі обсяги сторінок з одним автором. З огляду на застосовану процедуру виправлення, одна людина може бути представленою більше ніж одним ідентифікатором, але ідентифікатор не може відповідати більш ніж одній людині.
  3. Архівні додатки (zip, tar.gz, ...) замінені PDF, де перераховуються всі назви файлів в архіві. Як тільки контент архіву буде перевірений, він може бути доступний; до цього часу архів буде редагуватися.
  4. Додатки з іншим дворівневим контентом замінені шістнадцятеричним дампом контенту для запобігання випадкової активації маршрутів, які могли бути заражені хакерськими програмами ЦРУ. Як тільки контент буде перевірений, він може стати доступним; до цього контент буде редагуватися.
  5. Десятки тисяч посилань на маршрутизовані адреси (в тому числі понад 22 тисячі на території США), що відповідають можливим цілям, прихованим серверам прослушки ЦРУ, посередницьким і тестовим системам редагуються для проведення подальшого ексклюзивного розслідування.
  6. Дворівневі файли непублічного походження доступні тільки як дампи для запобігання випадкової активації заражених хакерськими програмами ЦРУ файлів.

Організаційна структура



Організаційна структура відповідає матеріалу, який до нинішнього моменту публікувався WikiLeaks.



З тих пір як організаційна структура ЦРУ, що нижче рівня дирекцій не є загальнодоступною, розміщення EDG і його відділів в структурі агентства відновлюється з інформації, що міститься в документах, які були опубліковані на даний момент. Це може служити в якості грубого абрису внутрішньої організації; просимо вас мати на увазі, що реконструйована організаційна структура представлена в повному обсязі, а внутрішні реорганізації відбуваються часто.



Wiki-сторінки



«Year Zero» містить 7818 веб-сторінок з внутрішніх розробок групового програмного забезпечення. Програмне забезпечення, використане для цих цілей, називається Confluence і є власністю Atlassian. У веб-сторінок в цій системі (як і в Wikipedia) є історія версій, які дають цікаву можливість поглянути на еволюцію документа в часі; 7818 документів включають в себе історії цих сторінок з 1 136 останніми версіями.



Порядок названих сторінок на кожному рівні визначається датою (перша — найраніша). Вміст сторінки відсутній, якщо вона спочатку була динамічно створеною програмним забезпеченням Confluence (як зазначено на реконструйованій сторінці).



Який часовий період охоплено?



З 2013 по 2016 рік. Порядок сортування сторінок всередині кожного рівня визначається за допомогою дати (перша — найвіддаленіша).



WikiLeaks отримав дату створення/останнього оновлення ЦРУ кожної сторінки, але з технічних причин ця інформація ще не відображається. Зазвичай дату можна встановити або приблизно виявити з контенту та порядку сторінок. Якщо вам вкрай важливо знати точний час/дату, зв'яжіться з WikiLeaks.



Що таке «Vault 7»?



«Vault 7» — це велике зібрання матеріалу про діяльність ЦРУ, здобуте WikiLeaks.


Коли були отримані окремі частини «Vault 7»?



Перша частина була отримана нещодавно і стосується всього 2016 року. Подробиці про інші частини будуть доступні до часу публікації.



Чи отримано кожну частина «Vault 7» з окремого джерела?



Подробиці про інші частини будуть доступні до часу публікації.



Який загальний обсяг «Vault 7»?



Ця серія — найбільша публікація про розвідагентство за всю історію.



Як WikiLeaks отримав кожну частину «Vault 7»?



Джерела вважають за краще, щоб WikiLeaks не розкривав інформацію, яка може сприяти їх ідентифікації.



Чи не турбується WikiLeaks, що ЦРУ буде вживати заходів проти його співробітників, щоб зупинити публікацію цієї серії?



Ні. Це буде вкрай контрпродуктивно.



WikiLeaks вже зібрав всі найкращі сюжети?



Ні. WikiLeaks навмисно не завищував значення сотень гучних історій, стимулюючи інших людей знаходити їх і задаючи, таким чином, експертну планку для наступних публікацій в серії. Ось вони. Погляньте. Читачі, які продемонструють чудові журналістські навички, можуть отримати більш ранній доступ до майбутніх частин.



Чи не випередять мене інші журналісти в пошуку кращих сюжетів?



Навряд чи. Існує набагато більше сюжетів, ніж журналістів і академіків, здатних писати про них.



Читайте також реакцію на вищенаведений витік — Washington Post «WIKILEAKS РОБИТЬ ВЕЛИЧЕЗНУ ПОСЛУГУ ВОРОГАМ АМЕРИКИ»

  • Джерело: https://wikileaks.org/ciav7p1/

Теги

Похожие материалы

  • Путін гірший за ІДІЛ

    Останнім часом увага світової громадськості зосереджена в основному на боротьбі з ІДІЛ в Іраці та Сирії, що цілком є виправданим. Після терактів в Лондоні та Манчестері більшість людей проявляють пильний інтерес до звільнення Мосула від бойовиків...

  • У цифрову епоху поле битви знаходиться... всюди

    Створений компанією Northrop Grumman стелс-бомбардувальник B-2 Spirit не може не вражати. Він здатний пролетіти непоміченим тисячі миль і скинути термоядерну бомбу на будь-яку з великої кількості цілей на нашій планеті. За деякими оцінками...

  • Кібер-зброя АНБ проти України

    За минулий місяць вкрадена з арсеналів АНБ кіберзброя застосовувалася проти двох дуже різних партнерів США — Британії та України. АНБ мовчить, не визнаючи свою причетність до розробки цієї зброї. Чиновники з Білого дому...

  • ЦРУ надає Конгресу доступ до даних про зв'язки Трампа з Росією

    Конгрес вступає в нову фазу свого розслідування Представники Конгресу США прямують в штаб-квартиру ЦРУ в Ленглі, штат Вірджинія, для ознайомлення з засекреченими даними про втручання Росії в президентські вибори в США. Палата...

  • Русифікація Америки

    Ця Мюнхенська конференція з безпеки (17-19 лютого 2017 року) відрізнялася від попередніх. Француз відстоював НАТО, виступаючи проти президента Америки. Тут був присутній міністр закордонних справ Росії, але не було навіть тіні держсекретаря США....