На WikiLeaks появилась новая информацая о ЦРУ

После обнародования очередного пакета документов по более чем 20 ПО, которые использует ЦРУ, WikiLeaks выпустил Vault 8, исходный код для некоторого ПО, зарегистрированного в серии утечек Vault 7. WikiLeaks заявила, что никаких 0 дней или других уязвимостей не было выпущено в серии Vault 8. Исходный код используется ЦРУ для управления вредоносными программами. Программное обеспечение для управления вредоносными программами называется Hive. Обнародованная WikiLeaks утечка доказывает, что ЦРУ выдавало поддельные сертификаты цифровой аутентификации. Российская антивирусная компания Kaspersky была одной из компаний, под которую маскировалось ЦРУ.

Пакет документов Vault 8 также содержит журналы разработки для Hive. В ранее обнародованном пакете Vault 7 было обнаружено, что ЦРУ использовало Hive для взлома устройств и фильтрации данных с зараженных устройств. Hive позволил оперативникам ЦРУ тайно контролировать зараженные устройства. Программное обеспечение для управления вредоносными программами позволяло оператору ЦРУ анонимно управлять своей вредоносной программой с помощью виртуальных частных серверов (VPS) и виртуальных сетей (VPN). VPS, который использовали в ЦРУ, искажал отправленный и полученный от зараженного устройства трафик. Даже если жертва обнаружила, что их устройство заражено вредоносным ПО, система Hive делает практически невозможным приписать атаку к ЦРУ.

Обложка домена делает контент невидимым. Посетитель не будет подозревать, что это что-то еще, кроме обычного веб-сайта.

Единственной особенностью является то, что технически не подкованный пользователь не заметит, что опция HTTPS-сервера не видна, опция используется для дополнительной аутентификации клиента. Но Hive использует необычную дополнительную аутентификацию, так что пользователю, просматривающему веб-сайт, не требуется аутентификация - говорится в WikiLeaks на их веб-сайте.

Hive использует прикрытие домена и передает полученные данные через VPN и на сервер ЦРУ под названием Blot. Трафик с зараженных устройств передается на сервер прикрытия, а также на сервер ЦРУ под названием Honeycomb. Honeycomb - это шлюз управления вредоносными программами, которые операторы ЦРУ могут использовать для доступа к зараженным устройствам.

ЦРУ использует вредоносное ПО Hive, чтобы запутать жертву, когда атака уже вскрылась. Хаки неправильно приписываются другим компаниям, по средствам использование цифровых сертификатов. ЦРУ может использовать эти поддельные сертификаты, чтобы сделать его нападение из различных источников, таких как Лаборатория антивирусной компании Касперского и Южно-Африканской SSL орган Thawte.com. Подделывая цифровые сертификаты, ЦРУ может запутать жертву, касательно источника вредоносного ПО, которое было внедрено на их устройство.

«Таким образом, если целевая организация смотрит на сетевой трафик, выходящий из своей сети, он, вероятно, неправильно признает фильтрацию данных ЦРУ для не вовлеченных лиц, чьи идентификационные данные были выданы», - говорится в пресс-релизе Vault 8 в WikiLeaks.

Евгений Касперский рассказал клиентам, что сертификаты действительно были подделаны ЦРУ, но конфиденциальные ключи и данные клиентов были безопасными. Ожидается, что WikiLeaks скоро выпустит исходный код для большего количества инструментов для взлома. WikiLeaks надеется, что эксперты по компьютерной экспертизе, журналисты и широкая общественность смогут лучше понять инструменты взлома ЦРУ. Ранее WikiLeaks сообщали о хакерских атаках ЦРУ в Vault 7. Взломы SSH CIA для Microsoft Windows и Linux также были обнародованы в Vault 7. Также было рассказано, как ЦРУ работает с частными корпорациями, чтобы взломать компьютеры на ОС Windows.