Убежище 7 — это серия документов, которые WikiLeaks начал публиковать 7 марта 2017 года, подробно описывающих деятельность и возможности Центрального разведывательного управления США (ЦРУ) по осуществлению электронного наблюдения и кибервойны . Файлы, датированные 2013–2016 годами, включают подробную информацию о возможностях программного обеспечения агентства, таких как возможность взлома автомобилей , смарт-телевизоров , [1] веб-браузеров , включая Google Chrome , Microsoft Edge , Mozilla Firefox и Opera , [2] [ 3] операционные системы большинства смартфонов , включая Apple iOS и Google Android , а также компьютерные операционные системы , включая Microsoft Windows , macOS и Linux . [4] [5] Внутренний аудит ЦРУ выявил, что 91 вредоносное ПО из более чем 500, использовавшихся в 2016 году, было скомпрометировано этой версией. [6] Инструменты были разработаны Отделом поддержки операций ЦРУ [7]
Обнародование Убежища 7 побудило ЦРУ переопределить WikiLeaks как «негосударственную враждебную разведывательную службу». [8] В июле 2022 года бывший инженер-программист ЦРУ Джошуа Шульте был признан виновным в передаче документов WikiLeaks, [9] и в феврале 2024 года приговорен к 40 годам тюремного заключения. [10]
По сообщениям СМИ, в феврале 2017 года WikiLeaks начал дразнить выпуск «Убежища 7» серией загадочных сообщений в Твиттере. [11] Позже в феврале WikiLeaks опубликовал секретные документы, описывающие, как ЦРУ следило за президентскими выборами во Франции в 2012 году . [12] В пресс-релизе об утечке говорилось, что она была опубликована «как контекст для предстоящей серии CIA Vault 7». [13]
В марте 2017 года представители американской разведки и правоохранительных органов заявили международному информационному агентству Reuters , что им было известно о нарушении безопасности ЦРУ, которое привело к Убежищу 7, с конца 2016 года. Два чиновника заявили, что сосредоточили свое внимание на «подрядчиках» как на возможном источнике. об утечках. [14]
В 2017 году федеральные правоохранительные органы определили инженера-программиста ЦРУ Джошуа Адама Шульте как предполагаемого источника Убежища 7. [15] [16] Шульте не признал себя виновным и был признан виновным в июле 2022 года за утечку документов WikiLeaks.
13 апреля 2017 года директор ЦРУ Майк Помпео объявил WikiLeaks «враждебной разведывательной службой». [17] В сентябре 2021 года Yahoo! В новостях сообщалось, что в 2017 году после утечек из Убежища 7 ЦРУ рассматривало возможность похищения или убийства Ассанжа, шпионажа за сотрудниками WikiLeaks, посеяния раздора среди его членов и кражи их электронных устройств. После многих месяцев обсуждений все предложенные планы были отменены из-за сочетания юридических и моральных возражений. Согласно статье Yahoo News 2021 года, бывший сотрудник национальной безопасности Трампа заявил: «Мы никогда не должны действовать из желания мести». [18]
Обнародование Убежища 7 побудило ЦРУ переопределить WikiLeaks как «негосударственную враждебную разведывательную службу». [8] В июле 2022 года бывший инженер-программист ЦРУ Джошуа Шульте был признан виновным в передаче документов WikiLeaks, [9] и в феврале 2024 года приговорен к 40 годам тюремного заключения. [10]
Первая партия документов под названием «Year Zero» была опубликована WikiLeaks 7 марта 2017 года и состояла из 7818 веб-страниц с 943 вложениями, предположительно из Центра киберразведки [19] , которые содержали больше страниц, чем бывший подрядчик АНБ и источник информации. Тогдашний релиз АНБ Эдварда Сноудена . [20] WikiLeaks опубликовала Year Zero в Интернете в закрытом архиве ранее на той неделе, а 7-го числа раскрыла парольную фразу. Парольная фраза отсылала к цитате президента Кеннеди о том, что он хотел «расколоть ЦРУ на тысячу частей и развеять его по ветру». [21]
WikiLeaks не назвал источник, но заявил, что файлы «распространялись среди бывших хакеров и подрядчиков правительства США несанкционированным образом, один из которых предоставил WikiLeaks части архива». [1] По данным WikiLeaks, источник «желает инициировать публичные дебаты о безопасности, создании, использовании, распространении и демократическом контроле над кибероружием», поскольку эти инструменты поднимают вопросы, которые «срочно необходимо обсудить публично, в том числе о том, является ли ЦРУ хакерские возможности превышают его полномочия и проблему общественного контроля над агентством». [1]
WikiLeaks попыталась отредактировать имена и другую идентифицирующую информацию из документов перед их публикацией, [1] но столкнулась с критикой за то, что некоторые ключевые детали остались неотредактированными. [22] WikiLeaks также пытался разрешить устанавливать связи между людьми с помощью уникальных идентификаторов , генерируемых WikiLeaks. [23] [24] В ведомстве также заявили, что отложат выпуск исходного кода кибероружия, длина которого, как сообщается, составляет несколько сотен миллионов строк, «до тех пор, пока не будет достигнут консенсус о технической и политической природе программы ЦРУ и о том, как она может быть реализована». оружие должно быть проанализировано, обезврежено и опубликовано». [1] Основатель WikiLeaks Джулиан Ассанж заявил, что это лишь часть более крупной серии. [20]
ЦРУ опубликовало заявление, в котором говорится: «Американская общественность должна быть глубоко обеспокоена любым разоблачением WikiLeaks, направленным на то, чтобы подорвать способность разведывательного сообщества защищать Америку от террористов или других противников. Такие разоблачения не только ставят под угрозу личный состав и операции США, но и вооружают наших противников». с инструментами и информацией, чтобы причинить нам вред». [25]
В заявлении, опубликованном 19 марта 2017 года, Ассанж заявил, что технологические компании, с которыми связались, не согласились, не не согласились и не подвергли сомнению то, что он назвал стандартным планом раскрытия информации в отрасли WikiLeaks. Стандартный срок раскрытия уязвимости составляет 90 дней после того, как компания, ответственная за исправление программного обеспечения, получила полную информацию об уязвимости. [26] По данным WikiLeaks, только Mozilla была предоставлена информация об уязвимостях, а «Google и некоторые другие компании» лишь подтвердили получение первоначального уведомления. WikiLeaks заявил: «Большинство этих отстающих компаний имеют конфликты интересов из-за своей секретной работы с правительственными учреждениями США. На практике такие ассоциации ограничивают сотрудников отрасли, имеющих допуск к секретной информации США, от устранения дыр на основе утечки информации из ЦРУ. Если такие компании захотят это сделать, не защищая своих пользователей от атак ЦРУ или АНБ, пользователи могут предпочесть такие организации, как Mozilla или европейские компании, которые отдают приоритет своим пользователям над государственными контрактами». [27] [28]
23 марта 2017 года WikiLeaks опубликовал второй выпуск материалов Убежища 7 под названием «Темная материя». Публикация включала документацию о нескольких попытках ЦРУ взломать iPhone и Mac от Apple. [29] [30] [31] В их число входило вредоносное ПО Sonic Screwdriver, которое могло использовать интерфейс Thunderbolt для обхода защиты прошивки паролем Apple. [32]
31 марта 2017 года WikiLeaks опубликовал третью часть «Мрамор». Он содержал 676 файлов исходного кода для Marble Framework ЦРУ. Он используется для запутывания или шифрования кода вредоносного ПО в попытке сделать так, чтобы антивирусные фирмы или следователи не могли понять код или указать его источник. По данным WikiLeaks, в код также включен деобфускатор, позволяющий обратить вспять эффекты обфускации. [33] [34]
7 апреля 2017 года WikiLeaks опубликовал четвертый выпуск «Кузнечик». Публикация содержит 27 документов из платформы Grasshopper ЦРУ, которая используется ЦРУ для создания настраиваемых и постоянных вредоносных программ для операционных систем Microsoft Windows. Grasshopper сосредоточился на избегании продуктов личной безопасности (PSP). PSP — это антивирусное программное обеспечение, такое как MS Security Essentials , Symantec Endpoint или Kaspersky IS . [34] [35]
14 апреля 2017 года WikiLeaks опубликовал пятую часть «УЛЕЙ». Основан на сверхсекретной вирусной программе ЦРУ, созданной его «Отделом разработки встроенных систем» (EDB). Шесть документов, опубликованных WikiLeaks, связаны с многоплатформенным вредоносным ПО ЦРУ HIVE. Внутренняя инфраструктура ЦРУ с общедоступным интерфейсом HTTPS , используемая ЦРУ для передачи информации с целевых настольных компьютеров и смартфонов в ЦРУ, а также открытия этих устройств для получения дальнейших команд от операторов ЦРУ для выполнения конкретных задач, при этом скрывая свои данные. присутствие за ничем не подозрительными общественными достояниями через маскирующий интерфейс, известный как «Switchblade» (также известный как «Пост прослушивания» (LP) и «Командование и контроль» (C2)). [36]
21 апреля 2017 года WikiLeaks опубликовал шестую часть «Плачущего ангела» (названного в честь монстра из телешоу « Доктор Кто» [37] [38] ), хакерского инструмента, разработанного совместно ЦРУ и МИ5 и использовавшегося для взлома сериала. первых смарт-телевизоров с целью тайного сбора разведывательной информации. После установки на подходящие телевизоры с USB-накопителем инструмент взлома позволяет встроенным микрофонам и, возможно, видеокамерам этих телевизоров записывать происходящее вокруг, в то время как телевизоры ложно кажутся выключенными. Записанные данные затем либо сохраняются локально в памяти телевизора, либо отправляются через Интернет в ЦРУ. Предположительно, агентства ЦРУ и МИ5 сотрудничали в разработке этого вредоносного ПО на совместных семинарах по разработке. Эксперт по безопасности Сара Затко заявила о данных, что «ничего из этого не предполагает, что они будут использоваться для массовой слежки», а Consumer Reports сообщила, что пострадали только некоторые из самых первых смарт-телевизоров со встроенными микрофонами и камерами. [39] [40] [41]
28 апреля 2017 года WikiLeaks опубликовал седьмую часть «Каракули». Утечка включает в себя документацию и исходный код инструмента, предназначенного для отслеживания документов, переданных информаторам и журналистам, путем встраивания тегов веб-маяков в секретные документы, чтобы отследить тех, кто их слил. [42] Инструмент влияет на документы Microsoft Office, в частности «Microsoft Office 2013 (в Windows 8.1 x64), документы из Office версий 97–2016 (документы Office 95 не будут работать) и документы, которые не заблокированы, зашифрованы или защищены паролем». ". При открытии документа ЦРУ с водяным знаком загружается невидимое изображение внутри документа, размещенное на сервере агентства, генерирующее HTTP-запрос . Затем запрос регистрируется на сервере, предоставляя разведывательной службе информацию о том, кто его открывает и где он открывается. Однако если документ с водяными знаками открыт в альтернативном текстовом процессоре, изображение может быть видно зрителю. В документации также указано, что если документ просматривается в автономном режиме или в защищенном режиме, изображение с водяным знаком не сможет связаться со своим домашним сервером. Это переопределяется только тогда, когда пользователь разрешает редактирование. [43]
5 мая 2017 года WikiLeaks опубликовал восьмую часть «Архимеда». По словам преподавателя института SANS США Джейка Уильямса, который проанализировал опубликованные документы, Archimedes — это вирус, ранее известный под кодовым названием «Fulcrum». По словам эксперта по кибербезопасности и члена ENISA Пьерлуиджи Паганини, операторы ЦРУ используют Archimedes для перенаправления сеансов веб-браузера локальной сети (LAN) с целевого компьютера на компьютер, контролируемый ЦРУ, прежде чем сеансы перенаправляются пользователям. Этот тип атаки известен как «человек посередине» (MitM). В свою публикацию WikiLeaks включил ряд хешей, которые, по их утверждению, могут быть использованы для потенциальной идентификации вируса «Архимед» и защиты от него в будущем. Паганини заявил, что потенциальные целевые компьютеры могут искать эти хэши в своих системах, чтобы проверить, не подвергались ли их системы атаке со стороны ЦРУ. [44]
12 мая 2017 года WikiLeaks опубликовал девятую часть «После полуночи» и «Убийца». AfterMidnight — это вредоносная программа, устанавливаемая на целевой персональный компьютер и маскирующаяся под DLL- файл, который исполняется при перезагрузке компьютера пользователя. Затем он запускает соединение с компьютером управления и контроля (C2) ЦРУ, с которого загружает для запуска различные модули. Что касается Assassin, то он очень похож на своего аналога AfterMidnight, но обманчиво работает внутри служебного процесса Windows . Сообщается, что операторы ЦРУ используют Assassin в качестве C2 для выполнения ряда задач, сбора, а затем периодической отправки пользовательских данных на посты прослушивания ЦРУ (LP). Аналогично поведению трояна-бэкдора . И AfterMidnight, и Assassin работают в операционной системе Windows, являются постоянными и периодически передают сигнал своему настроенному LP, чтобы либо запрашивать задания, либо отправлять личную информацию в ЦРУ, а также автоматически удаляться в установленную дату и время. [45]
19 мая 2017 года WikiLeaks опубликовал десятую часть «Афина». Опубликованное руководство пользователя, демонстрационная версия и сопутствующие документы были созданы в период с сентября 2015 по февраль 2016 года. Все они посвящены вредоносному ПО, предположительно разработанному для ЦРУ в августе 2015 года, примерно через месяц после того, как Microsoft выпустила Windows 10 со своими твердыми заявлениями о том, насколько она сложна. было пойти на компромисс. И основная вредоносная программа «Athena», и ее вторичная вредоносная программа под названием «Hera» теоретически похожи на вредоносное ПО Grasshopper и AfterMidnight, но имеют некоторые существенные различия. Одним из этих отличий является то, что Афина и Гера были разработаны ЦРУ совместно с частной корпорацией из Нью-Гэмпшира под названием Siege Technologies. В интервью Bloomberg в 2014 году основатель Siege Technologies подтвердил и обосновал разработку такого вредоносного ПО. Вредоносное ПО Athena полностью захватывает службы удаленного доступа Windows , а Hera — службу Windows Dnscache . И Athena, и Hera также влияют на все текущие версии Windows, включая, помимо прочего, Windows Server 2012 и Windows 10. Другое различие заключается в типах шифрования, используемых между зараженными компьютерами и постами прослушивания ЦРУ (LP). Что касается сходства, они используют постоянные файлы DLL для создания бэкдора для связи с LP ЦРУ, кражи личных данных, а затем отправки их на серверы ЦРУ или удаления личных данных на целевом компьютере, а также управления и контроля (C2) для Оперативники ЦРУ отправляют дополнительное вредоносное программное обеспечение для дальнейшего выполнения определенных задач на атакованном компьютере. Все вышеперечисленное предназначено для обмана программного обеспечения компьютерной безопасности. Помимо опубликованных подробных документов, WikiLeaks не предоставил никаких доказательств того, что ЦРУ использовало Athena или нет. [46]
1 июня 2017 года WikiLeaks опубликовал часть 11 «Пандемия». Этот инструмент представляет собой постоянный имплантат, влияющий на компьютеры Windows с общими папками. Он действует как драйвер фильтра файловой системы на зараженном компьютере и прослушивает трафик блокировки сообщений сервера , одновременно обнаруживая попытки загрузки с других компьютеров в локальной сети. «Пандемия» ответит на запрос на загрузку от имени зараженного компьютера. Однако он заменит законный файл вредоносным ПО. Чтобы запутать свою деятельность, «Пандемия» лишь модифицирует или заменяет легитимный файл при передаче, оставляя оригинал на сервере неизменным. Имплантат позволяет одновременно изменять 20 файлов с максимальным размером отдельного файла 800 МБ. Хотя это и не указано в просочившейся документации, вполне возможно, что недавно зараженные компьютеры сами могут стать «пандемическими» файловыми серверами, позволяя имплантату достигать новых целей в локальной сети. [47]
15 июня 2017 года WikiLeaks опубликовал часть 12 под названием «Цветение вишни». Cherry Blossom использовала сервер управления и контроля под названием Cherry Tree и специальную прошивку маршрутизатора под названием FlyTrap для мониторинга интернет-активности целей, сканирования «адресов электронной почты, имен пользователей чата, MAC-адресов и номеров VoIP» и перенаправления трафика. [ 48]
22 июня 2017 года WikiLeaks опубликовал часть 13 — руководство к «Жестокому кенгуру». Brutal Kangaroo — это проект, ориентированный на вредоносное ПО ЦРУ , предназначенное для взлома изолированных компьютерных сетей с помощью зараженных USB-накопителей. Brutal Kangaroo включал в себя инструменты Drifting Deadline, основной инструмент, Shattered Assurance, сервер, который автоматизирует заражение флэш-накопителей, Shadow, инструмент для координации взломанных машин, и Broken Promise, инструмент для утечки данных из изолированных сетей. [49]
28 июня 2017 года WikiLeaks опубликовал часть 14 руководства проекта под названием «Эльза». Elsa — это инструмент, используемый для отслеживания устройств Windows в близлежащих сетях Wi-Fi. [50]
29 июня 2017 года WikiLeaks опубликовал часть 15 руководства проекта OutlawCountry. OutlawCountry — это модуль ядра для Linux 2.6, который позволял агентам ЦРУ шпионить за серверами Linux и перенаправлять исходящий трафик с компьютера Linux на выбранный сайт. [51]
6 июля 2017 года WikiLeaks опубликовал часть 16 руководства проекта BothanSpy. BothanSpy — хакерский инструмент ЦРУ, созданный для кражи учетных данных SSH с компьютеров под управлением Windows. [52]
13 июля 2017 года WikiLeaks опубликовал часть 17 руководства проекта «Высотка». Хакерский инструмент Highrise, также известный как Tidecheck, использовался для перехвата и перенаправления SMS-сообщений на телефоны Android с версиями 4.0–4.3. Highrise также может использоваться в качестве зашифрованного канала связи между агентами ЦРУ и руководителями. [53]
19 июля 2017 года WikiLeaks опубликовал часть 18 документов Raytheon Blackbird Technologies для проекта «UMBRAGE Component Library» (UCL), в которых сообщается о вредоносных программах и векторах их атак . По данным WikiLeaks, он проанализировал атаки вредоносного ПО в реальном масштабе времени и дал «рекомендации группам разработчиков ЦРУ для дальнейшего расследования и разработки PoC для их собственных вредоносных проектов». В основном он содержал идеи проверки концепции, частично основанные на общедоступных документах. [54]
27 июля 2017 года WikiLeaks опубликовал часть 19 руководства проекта «Империал». Imperial включала три инструмента: Achilles, Aeris и SeaPea. Ахиллес превратил установочные файлы MacOS DMG в вредоносную программу-троян. Aeris представлял собой вредоносное ПО для систем POSIX , а SeaPea — руткит для OS X. [55]
3 августа 2017 года WikiLeaks опубликовал часть 20 руководства по проекту «Дамбо». «Дамбо» — это инструмент, который Агентство использовало для отключения веб-камер, микрофонов и других инструментов наблюдения через Wi-Fi и Bluetooth, чтобы позволить полевым агентам выполнять свои миссии. [56]
10 августа 2017 года WikiLeaks опубликовал часть 21 руководства проекта CouchPotato. CouchPotato был инструментом для перехвата и сохранения удаленных видеопотоков, который позволял ЦРУ подключаться к чужим системам наблюдения. [57]
24 августа 2017 года WikiLeaks опубликовал 22 часть проекта «ExpressLane». В этих документах освещается одна из киберопераций, которую ЦРУ проводит против других служб, с которыми оно поддерживает связь, включая Агентство национальной безопасности (АНБ), Министерство внутренней безопасности (DHS) и Федеральное бюро расследований (ФБР).
ExpressLane, инструмент тайного сбора информации, использовался ЦРУ для проникновения в системы сбора биометрических данных служб, с которыми оно поддерживает связь. ExpressLane был установлен и запущен под прикрытием обновления биометрического программного обеспечения служб связи агентами Управления технических служб (OTS) ЦРУ без их ведома. [58] [ ненадежный источник ]
31 августа 2017 года WikiLeaks опубликовал часть 23 руководства проекта Angelfire. Angelfire — это вредоносная программа, созданная для заражения компьютеров под управлением Windows XP и Windows 7 и состоящая из пяти частей. Solartime была вредоносной программой, которая модифицировала загрузочный сектор для загрузки Wolfcreek, который представлял собой самозагружающийся драйвер, загружавший другие драйверы. Keystone отвечала за загрузку других вредоносных программ. BadMFS представляла собой скрытую файловую систему, скрывавшую вредоносное ПО, а временная файловая система Windows была новой альтернативой BadMFS. В руководстве содержался длинный список проблем с инструментами. [59]
Protego, часть 24 документов Убежища 7, была опубликована 7 сентября 2017 года. Согласно WikiLeaks, Protego «представляет собой систему управления ракетами на базе PIC , разработанную Raytheon». [60] [ ненадежный источник ]
9 ноября 2017 года WikiLeaks начал публиковать Убежище 8, которое оно назвало «исходным кодом и анализом программных проектов ЦРУ, включая те, которые описаны в серии Vault7». Заявленное намерение публикации об Убежище 8 заключалось в том, чтобы «позволить журналистам-расследователям, экспертам-криминалистам и широкой общественности лучше идентифицировать и понять тайные компоненты инфраструктуры ЦРУ». [61] Единственным выпуском Vault 8 были исходный код и журналы разработки Hive, платформы скрытой связи для вредоносного ПО ЦРУ. WikiLeaks опубликовал документацию Hive как часть Убежища 7 14 апреля 2017 года.
В октябре 2021 года был обнаружен новый бэкдор , основанный на исходном коде Hive, который использовался «для сбора конфиденциальной информации и обеспечения плацдарма для последующих вторжений». Исследователи назвали его xdr33 и опубликовали отчет о нем в январе 2022 года. [62] [63] [64] Вредоносная программа нацелена на неопределенное устройство F5 и позволяет хакерам загружать и скачивать файлы. [65] Это также позволило шпионить за сетевым трафиком и выполнять команды на устройстве. [64] [66]
WikiLeaks сообщил, что документы поступили из «изолированной сети с высоким уровнем безопасности, расположенной внутри Центра киберразведки (CCI) ЦРУ в Лэнгли, штат Вирджиния ». [67] Документы позволили WikiLeaks частично определить структуру и организацию ТПП. Сообщается, что в CCI есть целое подразделение, занимающееся компрометацией продуктов Apple. [68]
Фирма по кибербезопасности Symantec проанализировала документы Vault 7 и обнаружила, что некоторые из описанных программ тесно связаны с кибератаками Longhorn, за которыми она следила с 2014 года. Symantec ранее подозревала, что Longhorn спонсируется правительством, и отслеживала его использование на 40 объектах. в 16 странах. [69] [70]
Первая часть документов, обнародованная 7 марта 2017 года, Убежище 7 «Нулевой год», показала, что сверхсекретное подразделение ЦРУ использовало немецкий город Франкфурт в качестве отправной точки для хакерских атак на Европу , Китай и Ближний Восток . Согласно документам, правительство США использует свое генеральное консульство во Франкфурте в качестве хакерской базы для проведения киберопераций . Документы WikiLeaks показывают, что франкфуртским хакерам, входящим в Европейский центр киберразведки (CCIE), были предоставлены прикрытия и дипломатические паспорта, чтобы сбить с толку сотрудников таможни и получить доступ в Германию. [68] [71]
Главный прокурор Федерального суда в Карлсруэ Петер Франк объявил 8 марта 2017 года, что правительство проводит предварительное расследование, чтобы выяснить, начнет ли оно серьезное расследование деятельности, осуществляемой за пределами консульства, а также в более широком смысле. подвергались ли люди в Германии нападению со стороны ЦРУ. [72] Министр иностранных дел Германии Зигмар Габриэль из Социал-демократической партии ответил на документы Убежища 7 «Нулевой год» о том, что ЦРУ использовало Франкфурт в качестве базы для своих операций цифрового шпионажа, заявив, что Германия не располагает никакой информацией о кибератаках. . [73]
Как сообщается, документы показали, что агентство накопило большую коллекцию методов кибератак и вредоносного ПО, созданных другими хакерами. Сообщается, что эта библиотека поддерживалась группой UMBRAGE Отделения удаленных устройств ЦРУ, а примеры использования этих методов и исходный код содержатся в git- репозитории «Библиотека компонентов Umbrage».
В день, когда документы Убежища 7 были впервые опубликованы, WikiLeaks описал UMBRAGE как «обширную библиотеку техник атак, «украденных» из вредоносного ПО, произведенного в других государствах, включая Российскую Федерацию», и написал в Твиттере: «ЦРУ крадет вирусы и вредоносные программы других групп, что способствует распространению ложных сведений». флаговые атаки». [74] По данным WikiLeaks, перерабатывая методы третьих лиц через UMBRAGE, ЦРУ может не только увеличить общее количество атак, [75] но также может ввести в заблуждение следователей-криминалистов, маскируя эти атаки под работу других групп и стран. . [1] [68] Среди методов, заимствованных UMBRAGE, была реализация очистки файлов, используемая Shamoon . По данным PC World , некоторые методики и фрагменты кода использовались ЦРУ в своих внутренних проектах, конечный результат которых нельзя вывести из утечек. PC World отметила, что практика установки « фальшивых флагов » для предотвращения установления авторства не является новым явлением в сфере кибератак: российские, северокорейские и израильские хакерские группы входят в число подозреваемых в использовании фальшивых флагов. [76]
Вскоре возникла теория заговора , утверждающая, что ЦРУ обвинило российское правительство во вмешательстве в выборы в США в 2016 году . Консервативные комментаторы, такие как Шон Хэннити и Энн Коултер , размышляли об этой возможности в Твиттере, а Раш Лимбо обсуждал ее в своем радиошоу. [77] Министр иностранных дел России Сергей Лавров заявил, что Убежище 7 показало, что «ЦРУ может получить доступ к таким «отпечаткам пальцев» и затем использовать их». [74]
Писатели и эксперты по кибербезопасности, такие как Бен Бьюкенен и Кевин Поулсен , скептически относились к этим теориям. [12] [78] Поулсен заявил, что эти теории представляют собой «дезинформацию», которой воспользовалась Россия и распространила боты. Он также написал: «Утечка каталога не организована по странам происхождения, а конкретного вредоносного ПО, используемого российскими хакерами Национального комитета Демократической партии, в списке нет». Роберт М. Ли, основатель фирмы по кибербезопасности Dragos, сказал, что «история возникла слишком быстро, чтобы быть органичной». [12]
Согласно исследованию Кима Зеттера в The Intercept , UMBRAGE, вероятно, была гораздо больше сосредоточена на ускорении разработки за счет перепрофилирования существующих инструментов, а не на установке ложных флагов. [75] Роберт Грэм, генеральный директор Errata Security, рассказал The Intercept , что исходный код, на который ссылаются документы UMBRAGE, является «чрезвычайно общедоступным» и, вероятно, используется множеством групп и государственных субъектов. Грэм добавил: «На основе данных в документах мы можем с уверенностью сказать, что они создают фрагменты кода для использования в других проектах и повторно используют методы в коде, который находят в Интернете... В другом месте они говорят о сокрытии атак, чтобы вы не могли видеть, откуда они исходят, но конкретного плана проведения операции под чужим флагом нет . Они не пытаются сказать: «Мы собираемся сделать это похожим на Россию». [79]
В документах описывается фреймворк Marble — обфускатор строк, используемый для сокрытия фрагментов текста во вредоносном ПО от визуального осмотра. Некоторые СМИ сообщили, что иностранные языки использовались для сокрытия источника хакерских атак ЦРУ, но технический анализ опроверг эту идею. [80] [81] [82] По данным WikiLeaks, в 2015 году он достиг версии 1.0 и использовался ЦРУ на протяжении 2016 года. [82]
В своем сообщении WikiLeaks сообщил, что «Marble» использовался для вставки текста на иностранном языке во вредоносное ПО для маскировки вирусов, троянов и хакерских атак, что затрудняло их отслеживание ЦРУ и заставляло следователей-криминалистов ложно приписывать код не та нация. Исходный код показал, что у Marble есть примеры на китайском, русском, корейском, арабском и персидском языках . [82]
Аналитики назвали описание WikiLeaks основной цели Marble неточным, заявив The Hill , что его основная цель, вероятно, заключалась в том, чтобы избежать обнаружения антивирусными программами. [83]
Marble также содержал инструмент деобфускатора, с помощью которого ЦРУ могло обратить вспять запутывание текста. [82] [84]
Исследователь безопасности Николас Уивер из Международного института компьютерных наук в Беркли заявил газете Washington Post: «Похоже, это одна из самых технически разрушительных утечек, когда-либо совершенных WikiLeaks, поскольку она, похоже, предназначена для прямого нарушения текущих операций ЦРУ». [85] [86]
HammerDrill — это инструмент сбора CD/DVD, который собирает перемещения по каталогам и файлы в настроенном каталоге и шаблоне имен файлов, а также регистрирует события вставки и удаления CD/DVD. [87]
После того, как WikiLeaks выпустил первую часть Убежища 7, «Year Zero», Apple заявила, что «многие проблемы, просочившиеся сегодня, уже исправлены в последней версии iOS» и что компания «продолжит работу по быстрому устранению любых выявленных уязвимостей». [88]
23 марта 2017 года WikiLeaks опубликовал «Темную материю», вторую партию документов из серии «Убежище 7», в которой подробно описываются методы и инструменты взлома, все из которых сосредоточены на продуктах Apple, разработанных Отделением встроенных разработок (EDB) ЦРУ. Утечка также показала, что ЦРУ атаковало iPhone с 2008 года и что некоторые проекты атаковали прошивку Apple. [89] В архив «Темной материи» вошли документы за 2009 и 2013 годы. Apple опубликовала второе заявление, в котором заверила, что на основе «первоначального анализа предполагаемая уязвимость iPhone затронула только iPhone 3G и была исправлена в 2009 году, когда был выпущен iPhone 3GS». Кроме того, предварительная оценка показала, что «предполагаемые уязвимости Mac ранее были исправлены на всех компьютерах Mac, выпущенных после 2013 года». [90] [91]
WikiLeaks сообщил 19 марта 2017 года в Твиттере, что «ЦРУ тайно использовало» уязвимость в огромном диапазоне моделей маршрутизаторов Cisco , обнаруженную благодаря документам Vault 7. [92] [93] ЦРУ больше года назад узнало, как использовать недостатки в широко используемых интернет-коммутаторах Cisco , которые направляют электронный трафик, чтобы обеспечить подслушивание. Cisco быстро переназначила сотрудников из других проектов, чтобы сосредоточить их внимание исключительно на анализе атаки и выяснении того, как работает хакерство ЦРУ, чтобы они могли помочь клиентам исправить свои системы и помешать хакерам-преступникам или шпионам использовать аналогичные методы. [94]
20 марта исследователи Cisco подтвердили, что их изучение документов Убежища 7 показало, что ЦРУ разработало вредоносное ПО, которое может использовать уязвимость, обнаруженную в 318 моделях коммутаторов Cisco, и изменять сеть или брать под ее контроль. [95] Cisco выпустила предупреждение о рисках безопасности, исправления не были доступны, но Cisco дала рекомендации по снижению рисков. [93]
Сообщается , что электронные инструменты могут поставить под угрозу как операционные системы Apple iOS , так и Google Android . Добавив вредоносное ПО в операционную систему Android, эти инструменты могут получить доступ к защищенным соединениям, осуществляемым на устройстве. [96]
По данным WikiLeaks, после взлома смартфона Android агентство может собирать «аудиотрафик и трафик сообщений до применения шифрования». [1] Сообщается, что некоторые программы агентства могут получать доступ к сообщениям, отправленным службами обмена мгновенными сообщениями. [1] Этот метод доступа к сообщениям отличается от получения доступа путем расшифровки уже зашифрованного сообщения. [96] Хотя шифрование мессенджеров , предлагающих сквозное шифрование , таких как Telegram , WhatsApp и Signal , не было взломано, их шифрование можно обойти, перехватив входные данные до того, как будет применено их шифрование, с помощью таких методов, как как кейлоггинг и запись сенсорного ввода пользователя. [96]
Комментаторы, в том числе Сноуден, а также криптограф и эксперт по безопасности Брюс Шнайер , заметили, что Wikileaks ошибочно предположил, что сами приложения для обмена сообщениями и лежащее в их основе шифрование были скомпрометированы – вывод, о котором, в свою очередь, некоторое время сообщали New York Times и другие издания. основные торговые точки . [1] [97]
Сообщается, что в одном документе показано, что ЦРУ исследовало способы заражения систем управления транспортными средствами. WikiLeaks заявил: «Цель такого контроля не уточняется, но он позволит ЦРУ совершать практически незаметные убийства». [68] Это заявление привлекло новое внимание к теориям заговора , окружающим смерть Майкла Гастингса . [98]
В документах упоминается эксплойт « Внедрение Windows FAX DLL » в операционных системах Windows XP , Windows Vista и Windows 7 . [19] Это позволит пользователю со злыми намерениями скрыть свое вредоносное ПО под DLL другого приложения. Однако для того, чтобы инъекция могла произойти, компьютер уже должен быть скомпрометирован другим методом. [99] [ нужен лучший источник ]
7 марта 2017 года Эдвард Сноуден прокомментировал важность публикации, заявив, что она показывает, что правительство США «разрабатывает уязвимости в продуктах США», а затем «намеренно оставляет дыры открытыми», что он считает крайне безрассудным. [100] 7 марта 2017 г. Натан Уайт, старший законодательный менеджер интернет-правозащитной группы Access Now , пишет: [101]
Сегодня наша цифровая безопасность оказалась под угрозой, потому что ЦРУ накапливало уязвимости, а не работало с компаниями над их исправлением. Предполагается, что в Соединенных Штатах существует процесс, который помогает защитить наши цифровые устройства и услуги — « Процесс оценки уязвимостей ». Многие из этих уязвимостей можно было бы ответственно раскрыть и исправить. Эта утечка доказывает присущий цифровым технологиям риск накопления уязвимостей, а не их устранения.
8 марта 2017 года Ли Мэтьюз, сотрудник Forbes , написал, что большинство техник взлома, описанных в Убежище 7, уже известны многим экспертам по кибербезопасности. [102] 8 марта 2017 года некоторые отметили, что обнаруженные методы и инструменты, скорее всего, будут использоваться для более целенаправленной слежки [103] [104], раскрытой Эдвардом Сноуденом. [105]
8 апреля 2017 года Эшли Горски, штатный юрист Американского союза гражданских свобод , назвала «критическим» понимание того, что «эти уязвимости могут быть использованы не только нашим правительством, но и иностранными правительствами и киберпреступниками по всему миру». Джастин Каппос , профессор кафедры компьютерных наук и инженерии Нью-Йоркского университета, спрашивает: «Если правительству известно о проблеме в вашем телефоне, которую злоумышленники могут использовать, чтобы взломать ваш телефон и иметь возможность шпионить за вами, является ли это слабостью, которая они сами должны использовать их для борьбы с терроризмом или для своих собственных шпионских возможностей, или это проблема, которую они должны решить для всех?». [106]
8 апреля 2017 года Синди Кон , исполнительный директор международной некоммерческой группы по защите цифровых прав Electronic Frontier Foundation , базирующейся в Сан-Франциско , заявила: «Если ЦРУ проходило мимо вашей входной двери и увидело, что ваш замок сломан, они должны хотя бы сообщить об этом». ты и, возможно, даже помогу тебе это исправить». «И что еще хуже, они затем потеряли информацию, которую скрывали от вас, и теперь о вашем сломанном замке узнали преступники и враждебные иностранные правительства». [107] Более того, она заявила, что ЦРУ «не смогло точно оценить риск нераскрытия уязвимостей. Даже такие шпионские агентства, как ЦРУ, несут ответственность за защиту безопасности и конфиденциальности американцев». [108] «Свобода вести частную беседу – без беспокойства о том, что враждебное правительство, мошеннический правительственный агент, конкурент или преступник – слушает, – имеет центральное значение для свободного общества». Четвертая поправка к конституции США , хотя и не такая строгая, как законы о конфиденциальности в Европе, тем не менее гарантирует право на свободу от необоснованных обысков и арестов. [109]
12 мая 2017 года президент и главный юрисконсульт Microsoft Брэд Смит написал: «Это новая закономерность в 2017 году. Мы видели, как уязвимости, хранящиеся ЦРУ, появляются на WikiLeaks». Другими словами, Смит выразил обеспокоенность по поводу того факта, что ЦРУ накопили такие компьютерные уязвимости, которые, в свою очередь, были украдены у них, в результате чего конфиденциальность и безопасность их клиентов по всему миру потенциально оказались под угрозой в течение длительного периода. [45] [110]