WikiLeaks опубликовал два новых хакерских инструмента ЦРУ
Пока весь мир был занят атаками WannaCry, в прошлую пятницу в рамках проекта Vault 7 портал WikiLeaks опубликовал очередную порцию документов ЦРУ. В этот раз на всеобщее обозрение были выставлены инструкции по использованию двух хакерских инструментов AfterMidnight и Assassin, представляющих собой упрощенные фреймворки.
Согласно опубликованной WikiLeaks документации, AfterMidnight устанавливается на атакуемый компьютер в виде DLL-файла, выполняющего роль бэкдора. DLL-файл остается на системе даже после ее перезагрузки и подключается к C&C-серверу по HTTPS для загрузки исполняемых модулей, так называемых «гремлинов» (Gremlins или Gremlinware).
Для работы вредоносу необходимо постоянное интернет-соединение. В противном случае AfterMidnight не может подключиться к C&C-серверу и выполнить модули. Сами модули распределяются по трем категориям – для похищения данных, вмешательства в работу установленного на атакуемой системе ПО, а также для обслуживания других модулей.
Особого внимания заслуживает модуль, подрывающий работу легитимного ПО на атакуемом компьютере. Process Gremlin способен несколькими способами вмешиваться в уже запущенные процессы или запускать новые. «Гремлин» может на время откладывать выполнение процесса, прерывать уже запущенный процесс, или блокировать процесс, вынуждая пользователя отключить его вручную. Атакующий может установить активность «гремлина» на определенное время и нацелить его только на некоторую часть процессов.
Assassin во многом напоминает AfterMidnight. Фреймворк состоит из конструктора, закладки, C&C-сервера и поста перехвата, выполняющего роль посредника между закладкой и C&C-сервером. Assassin работает на атакуемой системе в качестве сервиса и предназначен для выполнения ряда точных задач и сбора информации.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш