Achilles

Продукт

Разработчики:

Центральное разведывательное управление (ЦРУ)

2017: WikiLeaks опубликовал документацию

В конце июля 2017 года портал WikiLeaks опубликовали новую порцию документов к кибершпионским инструментам ЦРУ. На этот раз речь идет о руководстве для программ под кодовыми названиями Achilles, Aeris и SeaPea. ^[1]

Achilles представляет собой утилиту для "троянизации" файлов инсталляции приложений под macOS — DMG. ^[2]

WikiLeaks обнародовал документацию к шпионским программам ЦРУ для macOS и Linux

Согласно приведенному описанию, эта утилита позволяет "привязать" произвольный исполняемый файл к инсталлятору DMG для одноразового запуска.

Если владелец атакуемой машины запускает такой файл DMG, то устанавливаются и оригинальное приложение, и добавленный вредоносный компонент, после чего вредоносное дополнение из DMG-файла удаляется, чтобы его невозможно было проанализировать. Это довольно типично для кибершпионских операций.

Второй вредоносный инструмент — Aeris — представляет собой имплант для операционных систем стандарта POSIX. ^[3]

Согласно приведенной документации, Aeris написан на C и работает под следующими операционными системами:

Debian Linux 7 (i386)
Debian Linux 7 (amd64)
Debian Linux 7 (ARM)
Red Hat Enterprise Linux 6 (i386)
Red Hat Enterprise Linux 6 (amd64)
Solaris 11 (i386)
Solaris 11 (SPARC)
FreeBSD 8 (i386)
FreeBSD 8 (amd64)
CentOS 5.3 (i386)
CentOS 5.7 (i386)

Задачей Aeris, судя по его функциональности, является сбор и вывод данных через шифрованные TLS-каналы.

Каким именно образом собираются данные, в документе не поясняется. Это может означать, что Aeris является лишь одним звеном целой цепочки вредоносного ПО, используемой для компрометации систем, идентификации нужных данных и их вывода.

SeaPea, в свою очередь, представляет руткит для OS X, функционирующий на уровне ядра и обеспечивающий свое устойчивое присутствие в системе между перезагрузками. SeaPea также способен скрывать файлы и папки, запускать некоторые процессы и инициировать socket-соединения. ^[4]

Мануал к SeaPea уже выпускался ранее вместе с описанием других инструментов для заражения MacOS X и iOS. Сам документ относится к 2011 году, то есть уже довольно стар. SeaPea протестирован на двух давно устаревших версиях Mac OS X – 10.6 и 10.7. Актуальный индекс системы — 10.12. Работает ли на нем SeaPea, и существуют ли более новые версии – неизвестно.

MacOS X и Linux пользуются репутацией более защищенных систем, нежели Windows. Однако, как видим, шпионские инструменты существуют и для них. Любое ПО оказывается уязвимым перед серьезными профессионалами, — говорит Георгий Лагода, генеральный директор компании SEC Consult Services. — Другое дело, что операционные системы эволюционируют, и со временем старые инструменты оказываются частично или полностью неэффективными. Не исключено, что «слитый» инструментарий просто перестал отвечать потребностям его операторов.

WikiLeaks публикует документацию к кибершпионским инструментам ЦРУ в рамках своей кампании Vault 7. Документация предположительно была похищена хакерами и инсайдерами, хотя об этом известно лишь со слов администраторов ресурса.

В то время как на Wikileaks выкладываются лишь документы, описывающие вредоносное ПО ЦРУ, группировка Shadow Brokers время от времени публикует инструменты, предположительно использовавшиеся Агентством национальной безопасности США. Как и в случае с WikiLeaks, остается неизвестным каким образом эти инструменты попали в распоряжение Shadow Brokers. Факт, однако, что эти инструменты в большой степени по-прежнему вполне работоспособны.