Русские хакеры из ЦРУ
7 марта сайт Wikileaks еще раз попал в заголовки большинства мировых СМИ, когда опубликовал самый крупный за всю свою историю набор документов ЦРУ. Эта масса документов — его первая партия получила кодовое наименование «Убежище №7» (Vault 7) — в деталях описывает тайную глобальную программу хакерства ЦРУ и его арсенал боевых команд, использующих уязвимости в программном обеспечении и применяемых для проведения атаки на вычислительные системы. Новые публикации сайта Wikileaks раскрывают тайну групп Fancy Bear и Cozy Bear.
Как следует из сообщения Wikileaks, 8761 новых документов «поступили» из Центра киберразведки (Center for Cyber Intelligence, CCI), находящегося в штаб-квартире ЦРУ, что в г. Лэнгли, штат Вирджиния.
Наибольшее внимание привлекли приемы ЦРУ по инфильтрации и взлому смартфонов, «умных» телевизоров, а также возможность применения ряда кодированных приложений и сообщений.
Но в тени остался другой критический аспект, который имеет далеко идущие геополитические последствия.
Как сообщается, группа под кодовым наименованием UMBRAGE (Тень), входящая в состав Отдела удаленных разработок (Remote Development Branch, RDB) Центра киберразведки собрала и использовала «обширную библиотеку наступательных приемов „украденных“ из вредоносных программ, созданных в других государствах, включая Российскую Федерацию».
Как отмечают в Wikileaks, деятельность группы UMBRAGE и смежных подразделений дает ЦРУ возможность приписать выявленные кибератаки другим, «оставив после себя „отпечатки пальцев“ тех самых хакерских групп, у которых эти наступательные программы были украдены».
Иными словами, все изощренные хакерские инструменты ЦРУ имеют «подписи», указывающие на их происхождение в этом агентстве. Но для того, чтобы отвести подозрение от себя и скрыть истинный масштаб тайных киберопераций, ЦРУ привлекает методы работы UMBRAGE, создавая такие «подписи», которые позволяют приписать многочисленные атаки другим группам.
Сайт Wikileaks подчеркивает то, что ЦРУ особо предписывает при проведении кибератак и заражении вредоносными программами принимать меры к тому, чтобы те организации, которые будут вести расследование, не смогли увязать эти атаки с ЦРУ.
В документе, озаглавленном «Руководство по методам разведки: что можно и что нельзя делать», хакеров и разработчиков кодов предупреждают «не оставлять в бинарных файлах данных, указывающих на то, что этот бинарный файл/инструмент был использован или создан ЦРУ, властями США или сотрудничающими с ними компаниями». Кроме того, указывается, что «отнесение бинарного файла/инструмента к противнику может оказать необратимое воздействие на прежние, текущие и будущие операции властей США и их организаций».
Вероятнее всего, основным движущим мотивом в использовании Центральным разведывательным управлением группы UMBRAGE является сокрытие следов. Однако события последнего времени указывают на то, что группу UMBRAGE использовали для других, более гнусных и низких целей.
После того, как исход президентских выборов в США в 2016 году шокировал многих в американском политическом истэблишменте и в корпоративных СМИ, ЦРУ принялось обвинять Россию в том, что она проводила «тайную разведывательную операцию» с целью оказать содействие Дональду Трампу и предоставить ему преимущества в борьбе с его противником Хиллари Клинтон.
Но и до выборов штаб-квартира Клинтон обвиняла Россию во взломе электронного почтового ящика шефа избирательной кампании Джона Подесты, а также сотрудников Национального комитета Демократической партии.
В декабре прошлого года директор Национальной разведки Джеймс Клэппер — человек, известный тем, что лгал под присягой о слежке со стороны Агентства национальной безопасности — провел для сенаторов брифинг «за закрытыми дверями», в ходе которого он описывал якобы вскрывшиеся обстоятельства того, как российские власти «осуществляли взломы и иные вторжения» в американские выборы.
После брифинга влиятельный член Комитета по разведке палаты представителей Адам Шифф (демократ от штата Калифорния), заявил: «После многочисленных брифингов со стороны нашего разведывательного сообщества мне стало ясно, что русские взломали наши демократические институты и стремились вмешаться в наши выборы и посеять раздор».
По странному совпадению заявления разведывательного сообщества США о применении Россией кибератак для вмешательства в выборы увели внимание общественности в сторону от сообщений о том, что на деле власти США предпринимали попытки по взлому в избирательные системы ряда штатов. Например, штат Джорджия сообщал о многочисленных попытках взлома избирательной системы, большая часть которых, как это было отслежено, исходила от Департамента внутренней безопасности США.
Сейчас же, когда доказано, что ЦРУ не только имело возможность, но и ясно выражало намерение заменять «отпечатки пальцев» в проводимых им кибератаках на «отпечатки пальцев» другой страны, достоверность утверждений ЦРУ о том, что Россия, якобы, «взламывала» выборы в США — или, вообще, делала что-либо еще — вызывает серьезные подозрения.
В настоящий момент нет никакого способа, чтобы определить обоснованность «свидетельств» ЦРУ о взломе Россией американской инфраструктуры, поскольку на самом деле эти атаки вполне могли быть «операцией под чужим флагом».
А поскольку обвинения о кибератаках в адрес российских властей совпали с периодом наихудших отношений между Россией и США, то, кажется, по-прежнему продолжается длительная история использования Центральным разведывательным управлением тайных операций для обоснования враждебных действий против иностранных государств.
Уитни Уэбб
— журналистка независимого агентства MintPress News.
Перевод Сергея Духанова.
* Летом 2016 года, когда была взломана внутренняя сеть Демократической партии США, компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группами Fancy Bear и Cozy Bear. Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад касательно Fancy Bear. Группу относят к угрозам типа «Advanced Persistent Threat 28» (APT28), члены которой при взломе использовали уязвимость нулевого дня на Microsoft Windows и Adobe Flash. Документ со ссылкой на оперативные данные называет основой группы «государственного спонсора в Москве».
В подтверждение этого вывода следователи указывают на стиль, присущий русскоязычным в коде вредоносной программы, а также то, что правка программы совершалась в рабочие часы московского часового пояса. Директор FireEye по вопросам угроз Лаура Галанте описывала деятельность группы как «государственный шпионаж»...
Сайт WikiLeaks опубликовал документ ЦРУ, в котором фигурируют тестовые скрытые серверы под названием «Карманный Путин» (PocketPutin).
Документ обнародован в рамках публикации первой серии утечек из штаб-квартиры ЦРУ в Лэнгли. Из предоставленных данных следует, что разведуправление запустило проект Umbrage для организации кибератак под чужим флагом.
В WikiLeaks также утверждают, что в структуре ЦРУ есть подразделение, занимающееся разработкой вредоносного софта для устройств iPhone, Google и Samsung.
Сайт WikiLeaks опубликовал новый материал, связанный с масштабной утечкой из ЦРУ, в котором фигурируют пять файлов под названием «Карманный Путин». Четыре из них являются серверными программами и ещё одна — клиентским приложением.
«У ЦРУ есть пять скрытых тестовых серверов для прослушивания под названием PocketРutin», — уточняется в твите WikiLeaks.
Сомнительные связи
Сетевая архитектура «клиент — сервер» — одна из базовых схем в программировании для передачи цифровой информации. По такой схеме работают, например, популярные приложения Skype или WhatsApp — собирая аудио-, видео- или текстовую информацию, установленное на гаджете или ПК приложение отсылает данные на HTTP-сервер.
Из представленных на сайте документов ЦРУ неясно, для сбора каких данных разрабатывалась клиентская программа «Карманный Путин» и на каких устройствах — мобильных или стационарных — она устанавливалась. Непонятно также, почему в названии серверов используется имя российского президента: связана ли передающаяся по данному каналу информация непосредственно с Владимиром Путиным или с Россией. В WikiLeaks, однако, уточняют, что серверы использовались именно для прослушки.
Нерусские хакеры
«Карманный Путин» стал не единственным сюрпризом, обнаруженным в конфиденциальных файлах ЦРУ. Обнародованный накануне 8761 документ ведомства пролил свет на роль американской разведки в глобальном кибершпионаже.
WikiLeaks со ссылкой на эти документы утверждает, что ЦРУ запустило проект Umbrage, в рамках которого «собирает и сохраняет целую библиотеку наступательных технологий из компьютерных вирусов, созданных в других странах, в том числе и в России». «Этот необычайный набор, объём которого составляет несколько сотен миллионов строчек кода, предоставляет своему обладателю практически все возможности ЦРУ по проведению хакерских атак», — подчёркивает WikiLeaks. На портале отмечается, что ЦРУ обладает возможностью скрывать происхождение создателей вредоносных программ, выдавая их за россиян, китайцев или граждан других стран. Таким образом, киберэксперты ЦРУ могут при помощи Umbrage имитировать почерк других хакеров и действовать под чужим флагом.
ЦРУ США имеет в своём активе и программу, с помощью которой может маскировать свои действия в интернете. В рамках публикации утечек из Центрального разведывательного управления США WikiLeaks разместил информацию о специальном коде под названием Marble и руководство по пользованию им а также zip-архив, который содержит 676 файлов программы Marble. Как поясняет WikiLeaks, программа действует на основе замены кусков кода: «Marble скрывает текстовые фрагменты, используемые во вредоносных кодах ЦРУ», — говорится в пресс-релизе.
Программа действует по принципу обфускации — приведения исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы.
Таким образом, уточняется на сайте, удаётся скрыть информацию об изначальном разработчике вируса либо трояна или о его хакерской деятельности.
При этом ЦРУ с помощью программы может не только запутывать код, но и расшифровывать его. В активе Marble имеются тестовые примеры не только на английском, но также на китайском, русском, корейском, арабском языках и на фарси. Это позволяет вести двойную игру в плане идентификации вируса.
Подчёркивается, что программа используется исключительно для маскировки данных и не является причиной уязвимости программного обеспечения.
WikiLeaks отмечает, что информация о Marble позволяет предположить, что многие вирусы и трояны неизвестного ранее происхождения могли быть написаны специалистами ЦРУ.
Находки из «Сейфа»
Публикацию крупнейшей утечки конфиденциальных документов ЦРУ под названием Vault 7 («Сейф № 7») WikiLeaks начал 7 марта. На портале размещаются файлы, хранившиеся в изолированной внутренней сети центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли.
Среди них — данные о программе «Плачущий ангел», разработанной ЦРУ совместно с коллегами из британского MI5. С помощью «ангела», например, можно было получать доступ к «умным» телевизорам Smart TV, делая их инструментом для прослушки и записи разговоров их хозяев.
Однако главным направлением хакерской деятельности ЦРУ является взлом популярных моделей смартфонов и обеспечение удалённого доступа к хранящейся на них конфиденциальной информации владельцев. Так, в ЦРУ есть целое подразделение, занимающееся разработкой вредоносного софта исключительно для продукции Apple.
В самой компании впрочем поспешили заверить клиентов, что большая часть уязвимостей, которые использовали в ЦРУ, в последних версиях iOS была устранена.
Хакерский центр ЦРУ в Европе
Согласно обнародованным WikiLeaks документам, хакерская программа США носит глобальный характер, её осуществлением занимаются американские структуры за границей. Так, одним из крупнейших «хакерских центров ЦРУ в Европе» называется консульство Соединённых Штатов во Франкфурте-на-Майне.
Его штат насчитывает около тысячи человек, а само представительство занимает площадь в девять гектаров и окружено четырёхметровыми заборами с колючей проволокой. Сотрудники ЦРУ действуют под прикрытием Госдепартамента и курируют регионы Европы, Ближнего Востока и Африки.
Пользуясь дипломатической неприкосновенностью, они разрабатывают вредоносные программы и осуществляют кибероперации. При этом их деятельность не могут проверить местные власти.
От политики к коммерции
Однако в американском разведуправлении не только коллекционируют компьютерные вирусы, но и создают их. Согласно утечке, в структуре ЦРУ есть подразделение, занимающееся разработкой вредоносного софта исключительно для продукции Apple. В WikiLeaks поясняют, что доля телефонов, работающих на платформе iOS, на мировом рынке не так велика — она составляет всего 14,5% против 85% доли телефонов на платформе Android. Однако аппараты iPhone очень популярны среди политиков, дипломатов и в бизнес-сообществе. Таким образом, имеющаяся на них информация является, как правило, более значимой.
За взлом гаджетов на платформе Android, впрочем, также отвечает отдельное подразделение, добавляет WikiLeaks. Деятельность этого подведомства связана с продукцией таких корпораций, как Google, Samsung, HTC и Sony.
Из обнародованных документов следует, что консульство США во Франкфурте-на-Майне является «хакерским центром» ЦРУ, курирующим регионы Европы, Ближнего Востока и Африки. В WikiLeaks отмечают, что киберагентам ЦРУ выдавали дипломатические паспорта и они действовали под прикрытием Госдепартамента.
Реакция на утечку
Все эти сведения, впрочем, особо не заинтересовали прессу Запада. В США об утечке WikiLeaks пишут мало, убеждая американскую аудиторию, что сайт Джулиана Ассанжа связан со спецслужбами России.
В том же ключе высказалась и британская The Guardian, напомнив читателям, что в 2012 году Ассанж вёл авторскую программу на телеканале RT.
Ярче всех, однако, выразил точку зрения западного истеблишмента американский сенатор Джон Маккейн. «Я не могу этого утверждать, но очевидно, что WikiLeaks был связан с Россией», — заявил сенатор, комментируя утечку документов. Сенатор обеспокоен тем, что хакеры «продемонстрировали способность добраться до наших самых важных секретов, до важнейших засекреченных материалов».
При этом Маккейн не привёл доказательств причастности России к новой публикации о ЦРУ. «Нет, конечно, нет, это был кто-то, кто сидел в подвале своего дома в одних трусах и курил сигареты», — ответил политик на вопрос, не считает ли он, что Россия может быть причастна к утечке данных.
Документы Центрального разведывательного управления США, опубликованные сайтом разоблачений WikiLeaks, вероятнее всего, подлинные. Такой вывод сделали журналисты телеканала CNN после того, как расследованием утечки занялись ФСБ и ЦРУ.
Источники сообщили, что ЦРУ также озабочено тем, есть ли у редакции WikiLeaks другие секретные документы, которые могут быть опубликованы.
О взломе баз данных ЦРУ американской разведке стало известно в конце 2016 года. В утечке информации подозреваются лица, которые работали по контракту с ведомством.
Ранее пресс-секретарь Белого дома заявил, что администрация США не станет подтверждать информацию, опубликованную сайтом WikiLeaks, о средствах, которые применяет ЦРУ. При этом он отметил, что президжент Дональд Трамп очень обеспокоен утечками секретной информации.
Напомним, WikiLeaks опубликовал секретные документы и файлы по киберразведке ЦРУ. В некоторых из них содержится инструкция для взломщиков по получению дипломатических паспортов.
ЦРУ и ФБР начали совместное расследование по факту утечки секретных документов Центрального разведывательного управления, часть которых опубликовал сайт WikiLeaks. Об этом CNN рассказали несколько источников.
Главная задача следователей — выяснить, каким образом документы попали к информаторам WikiLeaks. При этом выясняется причастность к этому кого-либо из сотрудников или подрядчиков ЦРУ.
Reuters отмечает, что основное подозрение падает на контрактных сотрудников ЦРУ. При этом выяснилось, что правоохранители еще в конце прошлого года получили информацию о возможных нарушения в системе безопасности Центрального разведывательного управления.
EADaily ранее сообщало, что сайт WikiLeaks начал публикацию документов, которые, как утверждается, были получены из изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли. Причем утверждается, что будет «крупнейшая утечка» документов Центрального разведывательного управления США.
Пока публикуется около 9 тыс. различных документов, которые, как утверждается, связаны с «хакерской машиной ЦРУ». Весь архив обозначен как «Vault 7» («Убежище 7»). Отмечается, что специальное подразделение UMBRAGE («Тень») занимается сбором различных хакерских технологий, применение которых позволяет оставлять «фальшивые отпечатки», не позволяющие определить истинного исполнителя хакерской атаки.
: https://eadaily.com/ru/news/2017/03/09/v-ssha-nachalos-rassledovanie-po-faktu-utechki-dokumentov-cru-cnn
Другие статьи в литературном дневнике:
