Это самое ошеломляющее раскрытие темных секретов ЦРУ в истории, превосходящее даже объем секретов АНБ Эдварда Сноудена. Оба они раскрывают образ мышления технократов, которые считают, что никакие данные для них не являются закрытыми и что все данные, по сути, принадлежат им. Им нужна полная видимость всего и всего, на что они хотят обратить внимание. Это рассказ, который нужно прочитать. ⁃ TN Editor
Сегодня, во вторник, 7 марта 2017 года, WikiLeaks начинает новую серию утечек информации о Центральном разведывательном управлении США. Кодовое название «Убежище 7» от WikiLeaks. Это самая крупная публикация конфиденциальных документов агентства.
Первая полная часть серии, «Year Zero», включает 8,761 документ и файл из изолированной сети с высоким уровнем безопасности, расположенной в Центре киберразведки ЦРУ в Лэнгли, штат Вирджиния. Это следует за вводным сообщением в прошлом месяце о том, что ЦРУ нацелено на французские политические партии и кандидатов в преддверии президентских выборов 2012 года.
Недавно ЦРУ потеряло контроль над большей частью своего хакерского арсенала, включая вредоносные программы, вирусы, трояны, боевые эксплойты «нулевого дня», системы удаленного управления вредоносными программами и связанную документацию. Эта необычная коллекция, насчитывающая более нескольких сотен миллионов строк кода, дает своему обладателю все возможности ЦРУ для взлома. Судя по всему, архив был распространен среди бывших правительственных хакеров и подрядчиков США несанкционированным образом, один из которых предоставил WikiLeaks часть архива.
«Year Zero» знакомит с масштабами и направлением глобальной программы тайного взлома ЦРУ, его арсеналом вредоносных программ и десятками вооруженных эксплойтов «нулевого дня» против широкого спектра продуктов американских и европейских компаний, включая iPhone от Apple, Android от Google, Windows от Microsoft и даже телевизоры Samsung, превращенные в скрытые микрофоны.
С 2001 года ЦРУ добилось политического и бюджетного превосходства над Агентством национальной безопасности США (АНБ). ЦРУ обнаружило, что строит не только свой печально известный флот дронов, но и совершенно иной тип скрытых, охватывающих весь земной шар силы - свой собственный значительный флот хакеров. Хакерское подразделение агентства избавило его от необходимости раскрывать свои зачастую противоречивые операции Агентству национальной безопасности (его главному бюрократическому сопернику), чтобы воспользоваться его хакерскими возможностями.
К концу 2016 года хакерское подразделение ЦРУ, которое формально входит в состав Центра киберразведки (CCI), имело более 5000 зарегистрированных пользователей и выпустило более тысячи хакерских систем, троянов, вирусов и других вредоносных программ. . Таковы масштабы работы ЦРУ: к 2016 году его хакеры использовали больше кода, чем использовалось для запуска Facebook. ЦРУ фактически создало свое «собственное АНБ» с еще меньшей подотчетностью и без публичного ответа на вопрос, могут ли быть оправданы такие огромные бюджетные расходы на дублирование возможностей конкурирующего агентства.
В заявлении для WikiLeaks источник подробно описывает вопросы политики, которые, по их словам, срочно необходимо обсудить публично, в том числе вопрос о том, превышают ли хакерские возможности ЦРУ его установленные полномочия, а также проблему общественного надзора за агентством. Источник желает инициировать публичные дебаты о безопасности, создании, использовании, распространении и демократическом контроле над кибероружием.
Как только одно кибернетическое «оружие» «потеряно», оно может за секунды распространиться по всему миру, чтобы его могли использовать конкурирующие государства, кибер-мафия и хакеры-подростки.
Джулиан Ассанж, редактор WikiLeaks, заявил, что «при разработке кибер« оружия »существует чрезвычайный риск распространения. Можно провести сравнения между неконтролируемым распространением такого «оружия», которое является результатом неспособности сдержать его в сочетании с его высокой рыночной стоимостью, и мировой торговлей оружием. Но значение «нулевого года» выходит далеко за рамки выбора между кибервойной и кибермиром. Раскрытие также является исключительным с политической, юридической и судебной точек зрения ».
Wikileaks внимательно изучил раскрытие «Year Zero» и опубликовал основную документацию ЦРУ, избегая распространения «вооруженного» кибероружия до тех пор, пока не будет достигнут консенсус относительно технической и политической природы программы ЦРУ и того, как такое «оружие» следует анализировать, разоружать и публиковать. .
Wikileaks также решил отредактировать и обезличить некоторую идентифицирующую информацию в «Year Zero» для более глубокого анализа. Эти редакции включают десять из тысяч целей и атакующих машин ЦРУ в Латинской Америке, Европе и Соединенных Штатах. Хотя нам известно о несовершенных результатах любого выбранного подхода, мы по-прежнему привержены нашей модели публикации и отмечаем, что количество опубликованных страниц в «Убежище 7», часть первая («нулевой год») уже превышает общее количество страниц, опубликованных за первые три года утечки информации об Эдварде Сноудене из АНБ.
Анализ
Вредоносное ПО ЦРУ предназначено для iPhone, Android, умных телевизоров
Вредоносные программы и средства взлома ЦРУ создаются EDG (Engineering Development Group), группой разработки программного обеспечения в CCI (Центр киберразведки), департаменте, принадлежащем DDI (Директорат цифровых инноваций) ЦРУ. DDI - одно из пяти главных управлений ЦРУ (см. организационная структура ЦРУ для более подробной информации).
EDG отвечает за разработку, тестирование и поддержку всех бэкдоров, эксплойтов, вредоносных программ, троянов, вирусов и любых других видов вредоносных программ, используемых ЦРУ в своих секретных операциях по всему миру.
Все более изощренные методы слежки сравнивают с «Плачущим ангелом» Джорджа Оруэлла 1984 года, разработанным ЦРУ. Отделение встраиваемых устройств (EDB), который заражает умные телевизоры, превращая их в скрытые микрофоны, безусловно, является его самой символической реализацией.
Атака против Умные телевизоры Samsung был разработан в сотрудничестве с MI5 / BTSS Соединенного Королевства. После заражения Weeping Angel переводит целевой телевизор в режим «Fake-Off», чтобы владелец ошибочно полагал, что телевизор выключен, когда он включен. В режиме «Fake-Off» телевизор работает как жучок, записывая разговоры в комнате и отправляя их через Интернет на секретный сервер ЦРУ.
Отделение мобильных устройств ЦРУ (MDB) разработало многочисленные атаки для удаленного взлома и управления популярными смартфонами. Зараженные телефоны могут быть проинструктированы отправлять в ЦРУ данные о геолокации пользователя, аудио- и текстовые сообщения, а также тайно активировать камеру и микрофон телефона.
Несмотря на то, что iPhone занимал меньшую долю (14.5%) на мировом рынке смартфонов в 2016 году, специализированное подразделение в отделении мобильных разработок ЦРУ производит вредоносные программы для заражения, контроля и извлечения данных из iPhone и другие продукты Apple под управлением iOS, такие как iPad. В арсенале ЦРУ многочисленные местные и удаленные «нулевые дни» разработанные ЦРУ или полученные от GCHQ, NSA, FBI или купленные у подрядчиков по кибер-оружию, таких как Baitshop. Непропорциональное внимание к iOS можно объяснить популярностью iPhone среди социальной, политической, дипломатической и бизнес-элиты.
Эти методы позволяют ЦРУ обходить шифрование WhatsApp, Signal, Telegram, Wiebo, Confide и Cloackman, взламывая «умные» телефоны, на которых они работают, и собирая трафик аудио и сообщений до применения шифрования.
Вредоносное ПО ЦРУ предназначено для Windows, OSx, Linux, маршрутизаторов.
Многие из этих попыток заражения объединены ЦРУ.Автоматизированное отделение имплантатов (AIB), которая разработала несколько систем атак для автоматического заражения и контроля вредоносных программ ЦРУ, таких как «Убийца» и «Медуза».
ЦРУ разработало автоматизированные многоплатформенные системы атак и контроля вредоносных программ, охватывающие Windows, Mac OS X, Solaris, Linux и другие, такие как «HIVE» от EDB и соответствующие инструменты «Cutthroat» и «Swindle», которые являются описано в разделе примеров ниже.
ЦРУ «накопило» уязвимости («нулевые дни»)
После утечек Эдварда Сноудена об АНБ технологическая индустрия США заручилась обязательством администрации Обамы о том, что исполнительная власть будет постоянно раскрывать, а не копить, серьезные уязвимости, эксплойты, ошибки или «нулевые дни» для Apple, Google, Microsoft и другие производители из США.
Серьезные уязвимости, не раскрываемые производителям, ставят под угрозу огромные массы населения и критически важную инфраструктуру для иностранных разведчиков или киберпреступников, которые самостоятельно обнаруживают или слышат слухи об этой уязвимости. Если ЦРУ может обнаружить такие уязвимости, то могут и другие.
Приверженность правительства США Процесс Акции Уязвимости произошло после значительного лоббирования со стороны американских технологических компаний, которые рискуют потерять свою долю на мировом рынке из-за реальных и предполагаемых скрытых уязвимостей. Правительство заявило, что оно будет постоянно раскрывать все распространенные уязвимости, обнаруженные после 2010.
Документы «нулевого года» показывают, что ЦРУ нарушило обязательства администрации Обамы. Многие уязвимости, используемые в кибер-арсенале ЦРУ, широко распространены, а некоторые из них, возможно, уже были обнаружены конкурирующими спецслужбами или киберпреступниками.
Например, конкретное вредоносное ПО ЦРУ, раскрытое в «Year Zero», способно проникать, заражать и контролировать как телефон Android, так и программное обеспечение iPhone, которое запускает или использует президентские учетные записи Twitter. ЦРУ атакует это программное обеспечение, используя нераскрытые уязвимости безопасности («нулевые дни»), которыми обладает ЦРУ, но если ЦРУ может взломать эти телефоны, то это могут сделать и все остальные, кто получил или обнаружил уязвимость. Пока ЦРУ скрывает эти уязвимости от Apple и Google (которые производят телефоны), они не будут исправлены, и телефоны останутся доступными для взлома.
Те же уязвимости существуют для населения в целом, включая Кабинет министров США, Конгресс, высших руководителей, системных администраторов, сотрудников службы безопасности и инженеров. Скрывая эти недостатки безопасности от таких производителей, как Apple и Google, ЦРУ гарантирует, что сможет взломать всех & mdsh; за счет того, что все могут быть взломаны.
Программы "кибервойны" представляют серьезный риск распространения
Кибер-«оружие» невозможно держать под эффективным контролем.
В то время как распространение ядерного оружия сдерживается огромными затратами и видимой инфраструктурой, необходимой для сборки достаточного количества расщепляющегося материала для производства критической ядерной массы, кибер-«оружие», однажды разработанное, очень трудно сохранить.
Кибер «оружие» - это фактически компьютерные программы, которые, как и любые другие, могут быть пиратскими. Поскольку они полностью состоят из информации, их можно быстро скопировать без предельных затрат.
Обеспечить безопасность такого «оружия» особенно сложно, поскольку те же люди, которые его разрабатывают и используют, обладают навыками извлечения копий, не оставляя следов - иногда с использованием того же самого «оружия» против организаций, которые его содержат. Для правительственных хакеров и консультантов существуют существенные ценовые стимулы для получения копий, поскольку существует глобальный «рынок уязвимостей», который платит от сотен тысяч до миллионов долларов за копии такого «оружия». Точно так же подрядчики и компании, которые получают такое «оружие», иногда используют его в своих целях, получая преимущество перед своими конкурентами при продаже «хакерских» услуг.
В течение последних трех лет разведывательный сектор Соединенных Штатов, состоящий из правительственных учреждений, таких как ЦРУ и АНБ, и их подрядчиков, таких как Booze Allan Hamilton, подвергся беспрецедентной серии операций по сбору данных своими собственными работниками.
Ряд членов разведывательного сообщества, еще не названных публично, были арестованы или подвергнуты федеральным уголовным расследованиям в отдельных инцидентах.
Наиболее очевидно, что в феврале 8, 2017, федеральное большое жюри США обвинило Гарольда Т. Мартина III в подсчете 20 неправильного обращения с секретной информацией. Министерство юстиции утверждало, что оно изъяло несколько гигабайт информации 50,000 у Гарольда Т. Мартина III, которую он получил из секретных программ в АНБ и ЦРУ, включая исходный код для многочисленных хакерских утилит.
Как только одно кибернетическое «оружие» «ослаблено», оно может за секунды распространиться по всему миру, чтобы его могли использовать как равные государства, так и кибер-мафия, и хакеры-подростки.
Консульство США во Франкфурте является тайной хакерской базой ЦРУ
В дополнение к своим операциям в Лэнгли, штат Вирджиния, ЦРУ также использует консульство США во Франкфурте в качестве скрытой базы для своих хакеров, охватывающих Европу, Ближний Восток и Африку.
Хакеры ЦРУ, работающие вне консульства Франкфурта ( «Центр киберразведки в Европе» или CCIE) выдаются дипломатические («черные») паспорта и обложка Государственного департамента. Инструкция для входящих хакеров ЦРУ сделать усилия контрразведки Германии несущественными: «Проходите через немецкую таможню, потому что у вас есть история с прикрытием, а они всего лишь проштамповали ваш паспорт»
Ваша Обложка (для этой поездки) Q: Почему ты здесь? A: Сопровождение технических консультаций в консульстве.
Оказавшись во Франкфурте, хакеры ЦРУ могут путешествовать без дополнительных пограничных проверок в европейские страны 25, которые являются частью открытой границы Шенгенской зоны - включая Францию, Италию и Швейцарию.
Некоторые методы электронных атак ЦРУ рассчитаны на физическую близость. Эти методы атаки могут проникать в сети с высоким уровнем безопасности, которые отключены от Интернета, например, в базу данных полицейских записей. В этих случаях офицер ЦРУ, агент или связанный с ним разведчик, действуя в соответствии с инструкциями, физически проникает на целевое рабочее место. Злоумышленнику предоставляется USB-накопитель с вредоносным ПО, разработанным для этой цели для ЦРУ, который вставляется в целевой компьютер. Затем злоумышленник заражает и переносит данные на съемный носитель. Например, система атаки ЦРУ Fine Dining, предоставляет 24 приложения-приманки для использования шпионами ЦРУ. По словам свидетелей, шпион запускает программу, которая показывает видео (например, VLC), представляет слайды (Prezi), играет в компьютерную игру (Breakout2, 2048) или даже запускает фальшивый антивирусный сканер (Kaspersky, McAfee, Sophos). Но пока приложение-приманка находится на экране, нижележащая система автоматически заражается и подвергается обыску.
Как ЦРУ резко увеличило риски распространения
Преследуя одну из самых поразительных собственных целей разведки в живой памяти, ЦРУ структурировало свой режим классификации таким образом, чтобы для наиболее ценной для рынка части «Убежища 7» - вредоносного ПО ЦРУ (имплантаты + нулевые дни), сообщений прослушивания ( LP) и системы управления и контроля (C2) - у агентства мало возможностей для обращения в суд.
ЦРУ сделало эти системы несекретными.
Почему ЦРУ решило сделать свой киберарсенал несекретным, показывает, как концепции, разработанные для использования в военных целях, нелегко перейти на «поле битвы» кибервойны.
Чтобы атаковать свои цели, ЦРУ обычно требует, чтобы его имплантаты обменивались данными с их программами управления через Интернет. Если имплантаты ЦРУ, программное обеспечение Command & Control и Listening Post были засекречены, то офицеры ЦРУ могли быть привлечены к ответственности или уволены за нарушение правил, запрещающих размещение секретной информации в Интернете. Следовательно, ЦРУ тайно сделало большую часть своего кода кибершпионажа / войны несекретным. Правительство США также не может отстаивать авторские права из-за ограничений Конституции США. Это означает, что производители кибер «оружия» и компьютерные хакеры могут свободно «пиратствовать» это «оружие», если оно будет получено. ЦРУ в первую очередь приходилось полагаться на обфускацию для защиты своих секретов вредоносного ПО.
Обычное оружие, такое как ракеты, может быть запущено по противнику (то есть в незащищенную зону). Близость к цели или столкновение с ней приводит к детонации боеприпаса, включая его классифицированные части. Следовательно, военнослужащие не нарушают правила классификации, стреляя боеприпасами с засекреченными частями. Снаряд скорее всего взорвется. Если это не так, оператор не в этом.
За последнее десятилетие хакерские операции США все чаще переодевались военным жаргоном, чтобы привлечь финансовые потоки Министерства обороны. Например, попытки «внедрения вредоносного ПО» (коммерческий жаргон) или «падения имплантата» (жаргон АНБ) называются «пожарами», как если бы производился выстрел из оружия. Однако аналогия сомнительна.
В отличие от пуль, бомб или ракет, большинство вредоносных программ ЦРУ рассчитаны на то, чтобы жить в течение нескольких дней или даже лет после достижения своей «цели». Вредоносные программы ЦРУ не «взрываются при ударе», а постоянно заражают свою цель. Чтобы заразить целевое устройство, копии вредоносного ПО должны быть размещены на целевых устройствах, давая возможность физически завладеть вредоносным ПО. Чтобы передать данные обратно в ЦРУ или дождаться дальнейших инструкций, вредоносная программа должна взаимодействовать с системами CIA Command & Control (C2), размещенными на серверах, подключенных к Интернету. Но такие серверы обычно не одобряются для хранения секретной информации, поэтому системы управления и контроля ЦРУ также делаются несекретными.
Успешная `` атака '' на компьютерную систему цели больше похожа на серию сложных маневров в ходе враждебной заявки на захват или осторожное распространение слухов с целью получить контроль над руководством организации, а не на запуск системы вооружения. Если можно провести военную аналогию, заражение цели, возможно, сродни выполнению целой серии военных маневров против территории цели, включая наблюдение, проникновение, оккупацию и эксплуатацию.
Уклонение от криминалистики и антивируса
В ряде стандартов изложены модели заражения вредоносными программами ЦРУ, которые, вероятно, помогут следователям на местах проведения криминалистических расследований, а также компании Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens и антивирусные компании, которые защищают от атак.
Система управления Engineering Development Group (EDG) ЦРУ содержит около 500 различных проектов (только некоторые из которых задокументированы «Year Zero»), каждый со своими собственными подпроектами, вредоносными программами и хакерскими инструментами.
Большинство этих проектов связаны с инструментами, которые используются для проникновения, заражения («имплантации»), контроля и эксфильтрации.
Другая ветвь разработки сосредоточена на разработке и эксплуатации систем прослушивания сообщений (LP) и командования и управления (C2), используемых для связи с имплантатами CIA и управления ими; специальные проекты используются для нацеливания конкретного оборудования от маршрутизаторов до умных телевизоров.
Некоторые примеры проектов описаны ниже, но смотрите оглавление для полного списка проектов, описанных WikiLeaks "Year Zero".
сень
Разработанные ЦРУ хакерские техники создают проблему для агентства. Каждая созданная им методика формирует «отпечаток пальца», который могут использоваться судебными следователями для приписывания нескольких различных атак одному и тому же объекту.
Это аналогично обнаружению одинакового отличительного ножевого ранения на нескольких жертвах убийства. Уникальный стиль ранения создает подозрение, что за это отвечает один убийца. Как только одно убийство на съемочной площадке раскрыто, другие убийства также могут быть приписаны.
С помощью UMBRAGE и связанных проектов ЦРУ не только увеличивает общее количество типов атак, но и неверно указывает атрибуцию, оставляя после себя «отпечатки пальцев» групп, у которых были украдены методы атак.
Компоненты UMBRAGE охватывают кейлоггеры, сбор паролей, захват веб-камеры, уничтожение данных, постоянство, повышение привилегий, скрытность, предотвращение антивируса (PSP) и методы опроса.
Fine Dining
Fine Dining поставляется со стандартной анкетой, то есть меню, которое заполняют сотрудники ЦРУ. Анкета используется OSB агентства (Отдел оперативной поддержки) для преобразования запросов оперативных сотрудников в технические требования для хакерских атак (как правило, «извлечение» информации из компьютерных систем) для конкретных операций. Анкета позволяет OSB определить, как адаптировать существующие инструменты для работы, и сообщить об этом персоналу ЦРУ по настройке вредоносного ПО. OSB функционирует как интерфейс между оперативным персоналом ЦРУ и соответствующим персоналом технической поддержки.
Среди возможных целей сбора - «Актив», «Лиасонский актив», «Системный администратор», «Внешние информационные операции», «Агентства внешней разведки» и «Иностранные государственные структуры». Примечательно, что отсутствуют какие-либо ссылки на экстремистов или транснациональных преступников. «Сотрудника, ведущего дело», также просят указать среду цели, такую как тип компьютера, используемая операционная система, подключение к Интернету и установленные антивирусные утилиты (PSP), а также список типов файлов, которые должны быть извлечены, например, документы Office. , аудио, видео, изображения или пользовательские типы файлов. «Меню» также запрашивает информацию, возможен ли повторный доступ к цели и как долго можно поддерживать доступ к компьютеру без наблюдения. Эта информация используется программным обеспечением ЦРУ «JQJIMPROVISE» (см. Ниже) для настройки набора вредоносных программ ЦРУ, подходящих для конкретных нужд операции.
Импровизация (JQJIMPROVISE)
«Импровизация» - это набор инструментов для настройки, постобработки, настройки полезной нагрузки и выбора вектора выполнения для инструментов исследования / эксфильтрации, поддерживающих все основные операционные системы, такие как Windows (Bartender), MacOS (JukeBox) и Linux (DanceFloor). Его утилиты настройки, такие как Margarita, позволяют NOC (Network Operation Center) настраивать инструменты в соответствии с требованиями из вопросов, связанных с Fine Dining.
Улей
HIVE - это мультиплатформенный набор вредоносных программ CIA и связанное с ним программное обеспечение для контроля. В проекте предусмотрены настраиваемые имплантаты для платформ Windows, Solaris, MikroTik (используемые в интернет-маршрутизаторах) и Linux, а также инфраструктура Listening Post (LP) / Command and Control (C2) для взаимодействия с этими имплантатами.
Имплантаты настроены для связи через HTTPS с веб-сервером домена покрытия; Каждая операция, использующая эти имплантаты, имеет отдельный домен покрытия, и инфраструктура может обрабатывать любое количество доменов покрытия.
Каждый покрывающий домен преобразуется в IP-адрес, который находится у коммерческого поставщика VPS (виртуального частного сервера). Общедоступный сервер перенаправляет весь входящий трафик через VPN на сервер «Blot», который обрабатывает фактические запросы на подключение от клиентов. Он настроен для дополнительной проверки подлинности клиента SSL: если клиент отправляет действительный сертификат клиента (это могут делать только имплантаты), соединение перенаправляется на сервер инструментов «Honeycomb», который взаимодействует с имплантатом; если действующий сертификат отсутствует (что происходит в случае, если кто-то случайно пытается открыть веб-сайт прикрывающего домена), трафик перенаправляется на обслуживающий сервер, который предоставляет подозрительный на вид веб-сайт.
Сотовый сервер инструментов получает отфильтрованную информацию; Оператор также может поручить имплантату выполнять задания на целевом компьютере, поэтому сервер инструментов выступает в качестве сервера C2 (управления и контроля) для имплантата.
Аналогичная функциональность (хотя и ограниченная для Windows) предоставляется проектом RickBobby.
Приложение Signal создано компанией Open Whisper Systems, которая финансируется Фондом открытых технологий (крупнейшим финансистом открытых систем Whisper), который является проектом правительства США (который также работал над TOR и TAILS, зашифрованным доступом и операционной системой).
Фонд открытых технологий (OTF) является Правительство США финансируемая программа созданный в 2012 at Радио Свободная Азия поддерживать глобальный Интернет-доступ технологии. Его миссия состоит в том, чтобы «[использовать] имеющиеся средства для поддержки проектов, которые разрабатывают открытые и доступные технологии для обхода цензура и наблюдениеи тем самым способствовать права человека и открытые общества ».[1]
wpDiscuz