Только «Антивирус Касперского» блокирует утилиту ЦРУ
Сайт WikiLeaks опубликовал новый набор документов ЦРУ из подборки Vault 7. На этот раз рассекречен хакерский инструмент под названием Dumbo, который предназначен для вмешательства в работу камер и микрофонов на компьютере под Microsoft Windows. Инструмент работает как с установленными непосредственно на ПК устройствами, так и с беспроводными (Bluetooth, WiFi) или подключенными по кабелю. Можно приостановить их работу или стереть запись.
Dumbo — вспомогательная программа для работы подразделения ЦРУ под названием PAG (Physical Access Group). Это подразделение занимается физическими вторжениями, взломами, обычными операциями с физическим доступом к оборудованию и т. д. Например, если в квартире или в офисе нужно установить прослушивающее оборудование, жучки на компьютер, телевизор, телефоны и проч. PAG — специальное подразделением Центра киберразведки CCI (Center for Cyber Intelligence).
Dumbo помогает скрыть факт физического вторжения, то есть замести следы. В целом, ничего впечатляющего в этой программе нет. Для работы ей требуется физический доступ к компьютеру.
Честно говоря, это очень специализированный инструмент для конкретного применения в операциях спецслужб. Даже если бы WikiLeaks выложил бинарные файлы, драйверы и другие файлы программы в открытый доступ, вряд ли кто-то нашёл бы ей практическое применение. По этому поводу в руководстве пользователя от 6 июля 2015 года есть замечание, что необходимость разработки такого инструмента была сформулирована разведывательным сообществом (в него входят представители АНБ, ЦРУ, ФБР и других организаций) и закреплена документом 2015-OPS0001013. Цель — приостановка работы веб-камер и удаление видеозаписей, которые могут скомпрометировать работу агентов PAG. Ну раз надо, квалифицированные программисты сделали по заказу боссов такую простенькую «тулзу».
Программа запускается на компьютере жертвы с USB-флешки с привилегиями SYSTEM. Основной исполняемый файл версии Dumbo 3.0 называется GUI.exe, к нему прилагаются:
- драйвер scanner.sys для 32-битной Windows XP;
- исполняемый файл wscupd.exe для создания синего экрана на компьютерах под 32-битной Windows;
- исполняемый файл wermgr.exe для создания синего экрана на компьютерах под 64-битной Windows.
Инструмент работает на 32-битной Windows XP, Windows Vista и более новых версиях Windows. В то же время 64-битная Windows XP и более старые версии Windows не поддерживаются.
Интерфейс программы идеально прост. Агент ЦРУ вставляет флешку, затем запускает cmd.exe, а оттуда запускает GUI.exe, добавив при необходимости ключ -n
(не отключать автоматически сетевой адаптер и Bluetooth на компьютере). Программа загружается, а потом выводит на экран четыре опции:
- Системная информация
- Сеть
- Камера и микрофон
- Опции выхода
С первым понятно — это информация о системе.
В разделе «Сеть» выводится список сетевых адаптеров, изначальный статус адаптера (до того как Dumbo захватил процессы в системе) и текущий статус, входящий и исходящий трафик. Отсюда можно отключить адаптеры или вернуть их в исходное состояние.
Основная вкладка «Камера и микрофон» содержит основную функциональность программы. Отсюда агент получает доступ к опциям управления процессами, запущенными на компьютере, и доступ к таблице файлов с разрешением на запись (и их статусы).
Соответственно, агент может приостановить/возобновить или удалить процесс. С файлами можно поступить двояко: либо повредить (заполнить случайными данными), либо повредить и удалить (заполнить случайными данными, а потом стереть).
Опции выхода — либо через таймер (после этого система возвращается в своё нормальное состояние), либо через синий экран. Предполагается, что жертва вернётся к компьютеру, увидит синий экран и не удивится, что система наблюдения, веб-камера и микрофон ничего не записали о происходящем в его отсутствие.
Есть один интересный момент. В пользовательской документации Dumbo прописан специальный пункт, посвящённый «Антивирусу Касперского». Отмечено, что конкретно этот антивирус препятствует установке драйвера, необходимого для корректной работы Dumbo под Windows XP.
«Хорошая работа, Касперский».
WikiLeaks продолжает рассекречивать хакерские инструменты ЦРУ. Общее количество документов уже превысило 8700 штук. К сожалению, Джулиан Ассанж по-прежнему не выкладывает сами бинарные файлы эксплойтов и хакерских программ, а ограничивается только документацией.