+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

WikiLeaks: Шкідливе ПЗ, за допомогою якого Центральне розвідувальне управління (ЦРУ) США витягувало інформацію з чужих комп'ютерів, маскувалося під продукцію «Лабораторії Касперського»

WikiLeaks опублікував код хакерського інструменту ЦРУ, за допомогою якого відомство маскувало своє шкідливе ПЗ, призначене для крадіжки даних, під продукцію реальних виробників софту, у тому числі Лабораторії Касперського.

Шкідливе програмне забезпечення, за допомогою якого Центральне розвідувальне управління (ЦРУ) США витягувало інформацію з чужих комп'ютерів, маскувалося під продукцію «Лабораторії Касперського». Маскування здійснював спеціальний інструмент під назвою Hive, вихідний код якого був щойно оприлюднений ресурсом WikiLeaks у рамках проекту Vault 8.

Навіть якщо власник стороннього комп'ютера виявляв, що на його пристрої працює імплант - шкідливе ПЗ, що видобуває інформацію - завдяки Hive користувач ніяк не міг пов'язати його роботу з ЦРУ. Коли власник комп'ютера перевіряв, на які сервера в інтернеті імплант передає інформацію, Hive маскував зв'язок з серверами відомства. По суті, інструмент є прихованою комунікаційною платформою для шкідливого ПЗ ЦРУ, через яку воно відсилає в управління добуті дані і отримує нові інструкції, пише WikiLeaks.

При цьому, коли шкідливе програмне забезпечення проходить аутентифікацію в системі серверів ЦРУ, генеруються цифрові сертифікати, які імітують належність програмного забезпечення реально існуючим виробникам. Три зразки, що є в опублікованому WikiLeaks вихідному коді, підробляють сертифікати «Лабораторії Касперського» з Москви, нібито підписані довіреним сертифікатом Thawte Premium Server у Кейптауні. Якщо користувач, який знайшов імплант, намагається зрозуміти, куди йде трафік з його мережі, він подумає не на ЦРУ, а на вказаного виробника ПЗ.

«Лабораторія Касперського» відреагувала на публікацію WikiLeaks наступним коментарем: «Ми вивчили заяви, опубліковані 9 листопада у звіті Vault 8, і можемо підтвердити, що сертифікати, що імітують наші, є несправжніми. Ключі, сервіси та клієнти «Лабораторії Касперського» знаходяться в безпеці і не торкнулися».

Hive виконує ряд операцій за допомогою імплантів, що діють на комп'ютері, причому кожна операція реєструється в домені-прикритті, що нешкідливо виглядає. Сервер, на якому знаходиться домен, орендується у провайдерів комерційного хостингу на правах приватного віртуального сервера (VPS). Його софт кастомізовано під специфікацією ЦРУ. Ці сервери є публічним фасадом серверної системи ЦРУ, а далі вони передають HTTP(S)-трафік через віртуальну приватну мережу (VPN) на прихований сервер під назвою Blot.

Якщо хтось заходить на домен-прикриття, він показує відвідувачу цілком безневинну інформацію. Єдиною відмінністю, що насторожує, є нечасто використовувана опція HTTPS-сервера під назвою Optional Client Authentication. Завдяки їй від користувача, який переглядає домен, не потрібна автентифікація - вона не є обов'язковою. А ось імплант, зв'язавшись із сервером, проходить її обов'язково, щоб його зміг засікти сервер Blot.

Трафік від імплантатів відправляється на шлюз керування оператором імпланту під назвою Honeycomb, а весь інший трафік йде на сервер-прикриття, який постачає нешкідливий контент, доступний для всіх користувачів. У процесі аутентифікації імпланта генерується цифровий сертифікат, який імітує належність програмного забезпечення реально існуючим виробникам.

Інші новини

Найкраща ціна