WikiLeaks раскрыла способ, используемый ЦРУ для сокрытия страны происхождения шпионских зловредов

daa492d75d1a387cca7057aac6f2300f.png
Обратите внимание на место с якобы «русским» текстом

Вплоть до настоящего момента на WikiLeaks публиковалась лишь техническая документация с описанием возможностей программных инструментов Центрального разведуправления США. Документы «Vault 7» представляют собой большой интерес для специалистов по информационной безопасности, телекоммуникационных компаний и, конечно, хакеров. Сейчас редакция ресурса приняла решение начать публикацию исходного кода некоторых программ, что позволяет получить более детальное представление о возможностях ПО от ЦРУ.

Речь идет о релизе инструментария «Marble Framework», предназначенного для обфускации кода. Этот пакет инструментов использовался сотрудниками ЦРУ для того, чтобы усложнить процесс реверс-инжиниринга различных программ, которые используются разведуправлением для получения разного рода конфиденциальной информации. Marble представляет собой написанное на C++ приложение, обфусцирующее код и комментарии к нему различными способами. В WikiLeaks считают, что ПО из пакета Marble использовалось ЦРУ еще в 2016 году.
По мнению представителей Калифорнийского университета в Беркли, эта информация — одна из самых «вредоносных» со стороны Wikileaks, поскольку она подвергает опасности успешное проведение операций, проводимых ЦРУ.

Что касается методов обфускации, то здесь используется внедрение сниппетов на различных языках мира, включая фарси, китайский и «русский» (на иллюстрации в анонсе). Набор символов — сплошная тарабарщина, смысла в этих текстах нет (что касается предполагаемого «русского» языка, то здесь нет смысла не только в текстах, но и самих словах. Это кириллица, да, но вряд ли кто-то подумает, что это русский язык). По словам специалистов, то, что использовалось, сродни «Lorem ipsum», видам текста, который используется для заполнения шаблонов сайтов и документов. Эти сниппеты, по мнению разработчиков, должны были вводить в заблуждение специалистов, которые предприняли бы попытку реверс-инжиниринга ПО из инструментария ЦРУ.

Сниппеты, в частности, должны были убедить тех, кто будет разбирать случайно обнаруженный программный инструмент ЦРУ в том, что в разработке софта принимали участие не американцы, а представители других стран. Само это программное обеспечение, как считают эксперты, написано высококлассными специалистами и превосходно задокументировано.

Специалисты утверждают, что сама по себе публикация информации о методах, используемых ЦРУ для обфускации своего софта не представляет опасности. В общем-то, все, что используют программисты разведуправления, известно другим специалистам. Но вот по текстовым сниппетам теперь можно проводить поиск, что позволяет идентифицировать вредоносное ПО от американских разведчиков. Тексты, раскрытые WikiLeaks, вместе с другими «цифровыми отпечатками» позволяют идентифицировать шпионское ПО, что, конечно, усложнит дальнейшую работу ЦРУ в киберпорстранстве.

Почти сразу после анонса информации WikiLeaks в Сети появились комментарии пользователей, которым удалось обнаружить у себя следы пребывания ЦРУ. «Я должен сказать одну вещь. Я взломан. Меня взломало ЦРУ», — рассказал о своем случае Джейк Вильямс, основатель компании по информационной безопасности Rendition InfoSec. — «Я считаю, что все это может повлиять на внешнюю политику страны в будущем». Он считает, что если именно это обфускационное ПО использовалось ЦРУ при проведении большинства операций, то работа ЦРУ может быть разрушена.

c30b9f198fa3e13127ab7f17a97395be.png

ЦРУ уже успело отреагировать на действия WikiLeaks. «У диктаторов и террористов нет друга, более близкого, чем Джулиан Ассанж, поскольку именно он защищает их приватность», — заявил Дин Бойд, пресс-секретарь ЦРУ. — «Американское общество должно быть глубоко обеспокоено любыми раскрытиями Wikileaks информации, которая мешает возможностям разведчиков защищать Америку от террористов и других угроз. Все это не только ставит под угрозу сотрудников из США и различных операций, но также дает в руки наших врагов оружие и информацию, которые могут нам вредить».

Как бы там ни было, но в пакете информации Vault 7, предоставленном Wikileaks (информация о Marble — это уже третья порция данных об инструментах ЦРУ), нет слишком явного «срыва покровов». Да, большое количество информации интересно, но большая часть раскрытых уязвимостей ПО уже устарела — разработчики программного обеспечения, которое упоминается в утечках Wikileaks, включая Google, Microsoft, Firefox, уже исправили уязвимости, причем в большинстве случаев до момента самой утечки.

Сейчас представители ФБР расследуют ситуацию, пытаясь понять, каким образом файлы, попавшие к WikiLeaks, утекли из ЦРУ.

© Geektimes