WikiLeaks: Вредоносное ПО, с помощью которого Центральное разведывательное управление (ЦРУ) США извлекало информацию из чужих компьютеров, маскировалось под продукцию «Лаборатории Касперского»
Вредоносное ПО, с помощью которого Центральное разведывательное управление (ЦРУ) США извлекало информацию из чужих компьютеров, маскировалось под продукцию «Лаборатории Касперского». Маскировку осуществлял специальный инструмент под названием Hive, исходный код которого был только что обнародован ресурсом WikiLeaks в рамках проекта Vault 8.
Даже если владелец постороннего компьютера обнаруживал, что на его устройстве работает имплант — вредоносное ПО, добывающее информацию — благодаря Hive пользователь никак не мог связать его работу с ЦРУ. Когда владелец компьютера проверял, на какие сервера в интернете имплант передает информацию, Hive маскировал связь ПО с серверами ведомства. По сути, инструмент представляет собою скрытую коммуникационную платформу для вредоносного ПО ЦРУ, через которую оно отсылает в управление добытые данные и получает новые инструкции, пишет WikiLeaks.
При этом, когда вредоносное ПО проходит аутентификацию в системе серверов ЦРУ, генерируются цифровые сертификаты, которые имитируют принадлежность ПО реально существующим производителям. Три образца, присутствующих в опубликованном WikiLeaks исходном коде, подделывают сертификаты «Лаборатории Касперского» из Москвы, якобы подписанные доверенным сертификатом Thawte Premium Server в Кейптауне. Если пользователь, обнаруживший имплант, пытается понять, куда идет трафик из его сети, он подумает не на ЦРУ, а на указанного производителя ПО.
«Лаборатория Касперского» отреагировала на публикацию WikiLeaks следующим комментарием: «Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими. Ключи, сервисы и клиенты «Лаборатории Касперского» находятся в безопасности и не были затронуты».
Hive выполняет ряд операций с помощью имплантов, действующих на компьютере, причем каждая операция регистрируется в безобидно выглядящем домене-прикрытии. Сервер, на котором находится домен, арендуется у провайдеров коммерческого хостинга на правах виртуального частного сервера (VPS). Его софт кастомизирован под спецификации ЦРУ. Эти сервера представляют собой публичный фасад серверной системы ЦРУ, а далее они передают HTTP(S)-трафик через виртуальную частную сеть (VPN) на скрытый сервер под названием Blot.
Если кто-то заходит на домен-прикрытие, он показывает посетителю вполне невинную информацию. Единственным настораживающим отличием является нечасто используемая опция HTTPS-сервера под названием Optional Client Authentication. Благодаря ей от пользователя, просматривающего домен, не требуется аутентификация — она не обязательна. А вот имплант, связавшись с сервером, проходит ее обязательно, чтобы его смог засечь сервер Blot.
Трафик от имплантатов отправляется на шлюз управления оператором импланта под названием Honeycomb, а весь другой трафик идет на сервер-прикрытие, который поставляет безобидный контент, доступный для всех пользователей. В процессе аутентификации импланта генерируется цифровой сертификат, который и имитирует принадлежность ПО реально существующим производителям.
