WikiLeaks опубликовал полученные ЦРУ от подрядчика отчеты о хакерских техниках.
Сегодня, 19 июля, портал WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На этот раз были обнародованы данные о подрядчике ЦРУ, специализирующемся на анализе используемых киберпреступниками сложных вредоносных программ и техник.
Согласно утекшим документам, с ноября 2014 года по сентябрь 2015 года компания Raytheon Blackbird Technologies предоставила ЦРУ по крайней мере пять отчетов о проделанной работе в рамках проекта UMBRAGE Component Library (UCL). В отчетах вкратце изложены разработанные киберпреступниками и раскрытые исследователями методы и векторы атак. Вероятно, специалисты ЦРУ использовали эту информацию для разработки собственного вредоносного ПО.
В первом отчете Raytheon Blackbird Technologies описывается инструмент для удаленного доступа HTTPBrowser, разработанный примерно в 2015 году. Вредонос предназначен для перехвата нажатий клавиш на клавиатуре и использовался китайской киберпреступной группировкой Emissary Panda.
Во втором отчете идет речь об инструменте для удаленного доступа NfLog, также известном как IsSpace, из арсенала китайской киберпреступной группировки Samurai Panda. Вредонос оснащен эксплоитом для уязвимости CVE-2015-5122 в Adobe Flash и способен обходить контроль учетных записей пользователей.
Третий отчет посвящен очень сложному вредоносному ПО Regin, используемому с 2013 года в основном для похищения данных. Вредонос представляет собой модульный инструмент для шпионажа и по своим характеристикам превосходит кибероружие Stuxnet и Duqu. За разработкой Regin предположительно стоит Агентство национальной безопасности США.
В четвертом отчете эксперты рассказывают о HammerToss – вредоносном ПО, разработанном по заказу российских спецслужб. Вредонос был создан в 2014 году и обнаружен в начале 2015 года. В C&C-инфраструктуре HammerToss используются учетные записи Twitter и GitHub, а также взломанные сайты и облачные хранилища.
Пятый отчет посвящен инфостилеру Gamker. Троян использует простое шифрование, загружает на систему свою копию с использованием случайного имени файла и внедряется в различные процессы.
Интересные записи:
Microsoft опубликовала рекомендации по защите от DDE-атак
Ученые описали новый метод идентификации пользователей мобильных устройств
PT приглашает на вебинар «Анализ уязвимостей ПО и его место в процессе сontinuous integration»
Google удалит из Play Store приложения, злоупотребляющие функциями Accessibility Service