Symantec подтверждает соответствие между кибершпионскими инструментами ЦРУ и тем, что опубликовала WikiLeaks

b765b616598c0209bde4927d4ed2c119.jpg

Компания Symantec на днях опубликовала результаты изучения информации, опубликованной WikiLeaks. Речь идет о Vault 7, пакете документов с описанием принципов работы программного обеспечения, используемого ЦРУ для взлома компьютеров и компьютерных систем частных лиц и организаций.

Кибершпионажем в ЦРУ занималась специальная группа, которую в Symantec окрестили Longhorn. Ее участники инфицировали компьютерные сети правительственных органов разных государств, заражались также системы телекоммуникационных, энергетических предприятий, равно, как и авиапромышленных компаний. Пакет инструментов, о котором заявили представители WikiLeaks, использовался, по данным Symantec, с 2007 по 2011 годы. За это время группа скромпрометировала, по меньшей мере, 40 целей в 16 различных государствах, включая Средний Восток, Европу, Азию, Африку и США (в этом случае, скорее всего, по ошибке).
Инструментарий группы Longhorn был очень обширен. Symantec удалось найти соответствие между информацией, предоставленной WikiLeaks и атаками, осуществленными в прошлом, при помощи различных методов. Это совпадение криптографических протоколов (например, кастомизированного протокола RC5), изменения в используемом компиляторе и способах осуществления атак на компьютерные сети и системы. Как оказалось, сама компания Symantec внимательно следила в меру своих возможностей за деятельностью Longhorn с 2014 года. Во всяком случае, именно тогда Symantec обнаружила нового зловреда, распространяемого в документах Word.

«Longhorn использовала современные киберинструменты и уязвимости нулевого дня для поражения целей по всему миру», — сообщила компания в своем блоге. — «Система методов, инструментов и способов, используемых Longhorn, выделялась среди всех прочих, так что практически нет сомнений в причастности группы ко всем этим атакам».

Один из индикаторов, по которым проводилось отслеживание — это зловред Fluxwire. Изменения, которым подвергалось ПО, соответствует программе, описанной Symanteс. Специалисты этой компании, правда, назвали обнаруженный зловред Corentry. Но оно, насколько можно судить, точно соответствует ПО, которое фигурирует в архивах WikiLeaks как FluxWire. Например, изменения во FluxWare, задокументированные WikiLeaks, полностью соответствуют изменениям Corentry, зафиксированным Symantec. Если проще, то это одно и то же ПО со специфическими элементами «поведения», которое описано и Symantec, и WikiLeals. 25 февраля 2015 года специалисты Symantec отметили, что разработчики этого ПО теперь используют компилятор Microsoft Visual C++. Эти же данные содержатся в архиве Vault 7.

Гораздо больше схожих моментов можно найти в ПО, которое в Vault7 значится под названием Archangel. По архивам Symantec оно проходит как Plexor. Спецификации и модули этого ПО практически одинаково описываются в архивах ЦРУ и Symantec. Сомнений нет — это тоже одна и та же программа. В Vault7 есть информация о криптографических особенностях сетевой активности ПО ЦРУ. Эти особенности отмечают и в Symantec.

95c4e92e5c081f7f396f328dc7a5bbe8.jpg

«Прежде, чем направлять свое malware на цель, Longhorn занималась предварительной настройкой пакета программ, следы которой можно было обнаружить по специфическим словам, C&C доменам и IP адресам, с которыми должно было «общаться» это ПО. Longhorn использовала слова, написанные заглавными буквами, часто это «groupid» и «siteid», которые использовались для идентификации кампаний и жертв. Изучено более 40 таких идентификаторов, очень часто это были слова из фильмов, включая персонажей, еду или музыку. Один из примеров — отсылка на группу «The Police», с кодовыми словами REDLIGHT и ROXANNE», — говорится в отчете специалистов Symantec.

WikiLeaks опубликовала первую часть коллекции секретных документов ЦРУ 8 марта. Эта коллекция, получившая название Vault 7, дают неплохое представление о масштабах кибершпионской работы этой организации. При помощи разработанных своими сотрудниками программ ЦРУ получила возможность проникать в компьютерные сети практически любых организаций. После обнародования этих документов стало ясно, что возможности ЦРУ превосходят возможности АНБ.

Сейчас WikiLeaks не публикует исходный код инструментов, информация о которых содержится в первой части архива. Делается это по разным соображениям, включая опасность попадания такой информации в руки киберпреступников.

Ну, а реакция ЦРУ вполне закономерна. «Как мы и говорили ранее, Джулиан Ассанж вовсе не бастион правды и честности. Американское общество должно быть глубоко взволновано раскрытием документов Wikileaks, что ведет к ограничению возможностей ЦРУ по защите Америки от террористов и прочих злоумышленников», — заявил пресс-секретарь управления.

© Geektimes