Опубликовано руководство пользователя ЦРУ по удалённой прослушке телевизоров Samsung

22ebc5140a476cfa34541eae18054cf6.jpg
Представитель хищной расы Плачущих ангелов

Поклонники научно-фантастического сериала «Доктор Кто» прекрасно помнят инопланетную расу хищников Плачущие ангелы (Weeping Angels). Это персонажи эпизода «Не моргай» — десятого эпизода третьего сезона (2007) и одного из лучших эпизодов в истории «Доктора Кто».

С точки зрения постороннего наблюдателя Ангелы выглядят как каменные статуи, у которых глаза часто закрыты ладонями. Но если вы моргнёте, глядя на Ангела, то сразу заметите неуловимое изменение положение статуи — она как будто стала ближе. И не дай бог надолго отвести взгляд.
3c39e40928684feca87513185d1b8f96.jpg

Если отвести взгляд, то Плачущий ангел приблизится вплотную. Дело в том, что эти инопланетяне передвигаются только тогда, когда на них никто не смотрит, даже если просто моргнуть. В каком-то смысле они похожи на персонажа греческих мифов горгону Медузу, которая заставляла окаменеть каждого, кто на неё взглянет. Только здесь этот принцип действует наоборот.

2bd72512e33c41fb9e53683a6974a21b.jpg
Горгона Медуза, одна из трёх сестёр горгон (картина Караваджо). По легенде, это была девушка с красивыми волосами, но бог Посейдон овладел ею в храме Афины, где невинная красавица пыталась спрятаться от преследования бога. В отместку за святотатство в своём храме Афина превратила её волосы в гидр

Греческая мифология и современная научная фантастика удивительным образом сочетаются в недрах секретных лабораторий ЦРУ и MI5, где разрабатывается программное обеспечение для нужд внешней разведки. Обожающие современную поп-культуру программисты ЦРУ, конечно же, смотрели «Доктора Кто», и ту серию с Плачущими ангелами. Именно поэтому они дали такое назвали закладке для телевизоров Samsung. Телевизоров, которые следят за зрителями — это такие маленькие Weeping Angels, плачущие ангелы, попробуй только моргнуть или сболтнуть лишнее.

7 марта 2017 года сайт Wikileaks начал публикацию коллекции Vault 7 секретных документов Центрального разведывательного управления США. Первая часть коллекции Year Zero содержит 8761 файл, в том числе список разнообразных зловредов, вирусов, троянов, десятков 0day-эксплойтов и полезной нагрузки для них, систем удалённого управления и соответствующую документацию.

В опубликованной подборке была документация на закладку Weeping Angel для телевизоров Samsung со встроенными микрофонами и включенной функцией распознавания речи (голосового управления). Это вредоносное ПО создано подразделением ЦРУ по разработке для встроенных систем Embedded Development Branch (EDB) совместно с британской разведкой MI5/BTSS. Программа добавляет телевизору режим 'Fake-Off', когда телевизор выглядит выключенным, но в то же время записывает разговоры в комнате и отправляет их на веб-сервер ЦРУ.

21 апреля 2017 году Wikileaks опубликовал новую информацию по закладке Weeping Angel — подробное руководство пользователя для агентов ЦРУ. Документ датирован 28 февраля 2014 года (pdf). В технической документации инструмент называется EXTENDING. Как пишет Wikileaks, это оригинальная версия закладки, созданная в британской разведке MI5/BTSS и усовершенствованная в ЦРУ. Коллеги из Великобритании и США координировали свою работу над этим инструментом и делились опытом, организуя Joint Development Workshops — семинары по совместной разработке.

На трёх десятках страниц руководства пользователя изложено следующее:

  • ключевые функции закладки EXTENDING;
  • конфигурация зловреда: в комплект поставки входит образ Ubuntu 12.10 ISO для создания виртуальной машины Linux, где происходит генерация зашифрованных файлов с настройками (Windows-инсталлятор Oracle VM Virtual Box позволяет установить среду для запуска этой виртуальной машины Ubuntu VM) — генерация конфигурации должна осуществляться только на защищённом, отключенном от интернета компьютере; присутствует ещё скрипт wlan.bat для конфигурации виртуального адаптера Hosted Network Virtual Adapter на ноутбуке;
  • процесс установки;
  • совместимость с моделями телевизоров Samsung;
  • процесс установки веб-сервера для получения информации с телевизора — веб-сервер устанавливается с помощью Windows-инсталлятора XAMPP, есть также Android веб-сервер PAW Server, в комплект поставки входит файл .apk и сконфигурированная папка PAW2;

    c41c83a5e0e146d29364847f244f2150.png

    4ff0b00f427a42648498345448f7d31d.png

  • обработка аудиоданных, записанных через встроенный микрофон, с помощью Windows-программы ECDLive.exe;
  • процедура удаления закладки с телевизора (в изначальной конфигурации задаётся «дата смерти» закладки);
  • тестирование и возможные проблемы эксплуатации;
  • известные проблемы и ограничения закладки;
  • расшифровка кодов ошибок (приложение А).


В документе указано, что программа предназначена для моделей Samsung F Series (прошивки 1111, 1112 и 1116), а предварительная конфигурация зловреда осуществляется на персональном компьютере под Linux. Установка на телевизор осуществляется с помощью USB-флешки. Программа может работать в трёх режимах: 1) постоянная аудиозапись; 2) аудиозапись только в режиме выключенного телевизора; 3) аудиозапись только в режиме включенного телевизора.

Как видно из документации, записанные аудиофайлы с телевизора передаются не через интернет, а по WiFi — на ноутбук или Android-смартфон, размещённый неподалёку. Уже он может быть подключен к интернету, через него можно получить архив записанных файлов или производить прослушку в реальном времени. Вероятно, такая закладка лучше всего подходит для установки на «публичные» телевизоры, которые располагаются в офисных зданиях, фойе гостиниц, кафетериях, парикмахерских и т. д.

Сами файлы вредоносного ПО из архива Vault 7 обещают опубликовать после проверки и закрытия уязвимостей со стороны производителей.

P.S. Сейчас ЦРУ и ФБР ведут совместное расследование, чтобы установить сотрудника, причастного к утечке документов. Удивительно, что за 1,5 месяца вычислить его не удалось.

© Geektimes