Рубрика «WikiLeaks»

Инженер Google Рональд Минних рассказал на LinuxCon про поддерживаемый Google открытый проект NERF (Non-Extensible Reduced Firmware), который мог бы заменить компьютерам UEFI, передал OpenNET. UEFI — это интерфейс между операционной системой и низкоуровневыми функциями оборудования, современная замена BIOS, Читать полностью »

Wikileaks опубликовал презентацию бывшего директора компании «Петер-сервис» по разработке ПО Валерия Сысика, сделанную им в 2013 году, в ней менеджер описывает идею собирать информацию о поведении пользователей интернета и использовать ее для манипуляции поведением людей — как именно предполагается это делать и с какой целью он не уточняет. Также Сысик пишет, Читать полностью »

Команда WikiLeaks опубликовала информацию о ПО, при помощи которого ЦРУ годами заражало домашние маршрутизаторы - 1

Похоже на то, что программный инструментарий ЦРУ неисчерпаем. Команда WikiLeaks опубликовала уже несколько подборок такого ПО, но каждая новая публикация становится еще одним сюрпризом. Несколько дней назад команда WikiLeaks выложила информацию о еще одной подборке эксплоитов ЦРУ, которые использовались для атаки на роутеры 10 наиболее известных производителей сетевого оборудования, включая Linksys, Dlink и Belkin. ПО позволяло злоумышленникам наблюдать за трафиком, а также манипулировать им, причем это касается как входящих, так и исходящих пакетов данных. Кроме того, это же программное обеспечение использовалось и для заражения подключенных устройств.

Пакет программного обеспечения, о котором идет, речь, получил название CherryBlossom. Сообщается, что наиболее эффективно это ПО в отношении нескольких моделей маршрутизаторов, включая D-Link DIR-130 и Linksys WRT300N. Все потому, что эти устройства уязвимы к удаленному взлому даже в том случае, если используется сложный пароль администратора. Один из эксплоитов из пакета, который называется Tomato, позволяет извлекать пароли, какими бы сложными они ни были. При этом функция universal plug and play остается включенной и может использоваться злоумышленниками.
Читать полностью »

Security Week 23: EternalBlue портировали на Win10, ЦРУ атакует с файлсерверов, маркетологи незаметно заразили весь мир - 1Приключения EternalBlue продолжаются: теперь исследователи из RiskSense портировали его на Windows 10. На первый взгляд это деструктивное достижение, однако же, именно в этом состоит немалая часть работы исследователя-безопасника. Чтобы защититься от будущей угрозы, сначала надо эту угрозу создать и испытать, причем крайне желательно сделать это раньше «черных шляп».

Ранее RiskSense разработали EternalBlue-модуль для Metasploit, который отличается от оригинала тем, что его гораздо хуже детектят IDS. Из него выкинули имплант DoublePulsar который слишком хорошо изучен и не особо умеет скрываться на машине, демаскируя атаку. Вместо него исследователи разработали собственный шеллкод, который способен загрузить нужную нагрузку напрямую.

Исходный EternalBlue, как и его модуль для Metasploit, работает лишь на Windows 7 и Windows XP, а также на Windows Server 2003/2008 R2. В своем отчете компания подробно анализирует все цепочку багов, используемых эксплойтом, и из документа видно, что к подобной атаке уязвимы все системы на базе ядра NT – однако выручают защитные технологии, часть из которых EternalBlue обходить умеет, часть – не очень.
Читать полностью »

Pandemic: инструмент ЦРУ для скрытой подмены файлов - 1WikiLeaks продолжает тянуть жилы из ЦРУ, понемножку публикуя порции документов о хакерских инструментах, которые используются американцами для шпионажа. Разведчики вынуждены один за другим выводить эти инструменты из оборота, потому что теперь они рассекречены.

1 июня 2017 года WikiLeaks обнародовала документацию на программу Pandemic — это минифильтр файловой системы под Windows, который распространяет вредоносные файлы. Программа Pandemic подменяет содержимое файлов во время их копирования по SMB. Вместо оригинального содержимого получателю приходит произвольный файл с тем же названием (это может быть троянизированная версия оригинальной программы — на GT ранее публиковался список программ, для которых ЦРУ выпустила троянизированные версии, это VLC Player Portable, IrfanView, Chrome Portable, Opera Portable, Firefox Portable, Kaspersky TDSS Killer Portable, Notepad++, Skype, 7-Zip Portable, Portable Linux CMD Prompt, 2048 и многие другие). Таким образом осуществляется быстрое распространение вирусного кода по локальной сети.

Чтобы замаскировать свои действия, оригинальный файл на сервере остаётся неизменным, но получатель при копировании этого файла получает уже версию с трояном. Очень эффективное и простое оружие. Оно особенно подходит для установки на файл-серверы, откуда осуществляется массовое копирование файлов. Представьте, что все файлы на сервере чисты, проверены антивирусом и не содержат ничего подозрительного. Но при их копировании вы получаете версию с трояном.
Читать полностью »

Швеция отказалась от преследования Джулиана Ассанжа: ловушка для основателя WikiLeaks - 1
Джулиан Ассанж выступает с балкона эквадорского посольства в Лондоне, 19 мая 2017 года. Фото: Jack Taylor/Getty Images

Основатель WikiLeaks Джулиан Ассанж с 2012 года живёт в эквадорском посольстве в Лондоне. Ему нельзя было покидать здание, потому что английская полиция сразу бы арестовала его на выходе со ступенек посольства — и начала бы процесс экстрадиции в Швецию, где на него завели уголовное дело по обвинению в изнасиловании. А уже оттуда Джулиана ждала прямая дорога в США, где ему вообще грозит смертная казнь по потенциальному обвинению в публикации документов, составляющих государственную тайну (госизмену нельзя вменить гражданину Австралии). Официально обвинение в США пока не предъявлено, но никто не сомневается, что американцы мгновенно предъявят его и потребуют экстрадиции, как только Ассанж выйдет из посольства. У Великобритании и США есть соглашение об экстрадиции. У Эквадора такого соглашения нет, и там он считается беженцем, но уехать в Эквадор британские власти ему тоже не позволяют.

Но теперь угроза из Швеции якобы исчезла. В пятницу 19 мая 2017 года шведская прокуратора распространила заявление, что прекращает предварительное преследование в отношении гражданского активиста, поскольку «исчерпаны все возможности продвинуться в расследовании».
Читать полностью »

Неизвестные доброжелатели распространили через WikiLeaks, якобы инструкцию к утилите Центрального разведывательного управления (ЦРУ) США «Плачущий ангел» (Weeping Angel). […] «Плачущий ангел» позволяет прослушивать комнату при помощи вмонтированного в телевизор микрофона [Roem.ru: микрофоны часто стоят в пульте управления ТВ, для голосового управления устройством,Читать полностью »

Symantec подтверждает соответствие между кибершпионскими инструментами ЦРУ и тем, что опубликовала WikiLeaks - 1

Компания Symantec на днях опубликовала результаты изучения информации, опубликованной WikiLeaks. Речь идет о Vault 7, пакете документов с описанием принципов работы программного обеспечения, используемого ЦРУ для взлома компьютеров и компьютерных систем частных лиц и организаций.

Кибершпионажем в ЦРУ занималась специальная группа, которую в Symantec окрестили Longhorn. Ее участники инфицировали компьютерные сети правительственных органов разных государств, заражались также системы телекоммуникационных, энергетических предприятий, равно, как и авиапромышленных компаний. Пакет инструментов, о котором заявили представители WikiLeaks, использовался, по данным Symantec, с 2007 по 2011 годы. За это время группа скромпрометировала, по меньшей мере, 40 целей в 16 различных государствах, включая Средний Восток, Европу, Азию, Африку и США (в этом случае, скорее всего, по ошибке).
Читать полностью »

WikiLeaks раскрыла способ, используемый ЦРУ для сокрытия страны происхождения шпионских зловредов - 1
Обратите внимание на место с якобы «русским» текстом

Вплоть до настоящего момента на WikiLeaks публиковалась лишь техническая документация с описанием возможностей программных инструментов Центрального разведуправления США. Документы «Vault 7» представляют собой большой интерес для специалистов по информационной безопасности, телекоммуникационных компаний и, конечно, хакеров. Сейчас редакция ресурса приняла решение начать публикацию исходного кода некоторых программ, что позволяет получить более детальное представление о возможностях ПО от ЦРУ.

Речь идет о релизе инструментария “Marble Framework”, предназначенного для обфускации кода. Этот пакет инструментов использовался сотрудниками ЦРУ для того, чтобы усложнить процесс реверс-инжиниринга различных программ, которые используются разведуправлением для получения разного рода конфиденциальной информации. Marble представляет собой написанное на C++ приложение, обфусцирующее код и комментарии к нему различными способами. В WikiLeaks считают, что ПО из пакета Marble использовалось ЦРУ еще в 2016 году.
Читать полностью »

Security Week 13: В ЦРУ нашлись фанаты Doctor Who, APT29 пускает бэкдор-трафик через Google, начинайте патчить SAP GUI - 1Главная новость недели: в ЦРУ работают настоящие олдскульные нерды, фанатеющие от «Доктора Кто». Ведь кто-то же додумался окрестить инструмент для заражения запароленных макбуков «звуковой отверткой» (Sonic Screwdriver). Спасибо дяде Ассанжу за эти бесценные сведения!

Так, давайте обо всем по порядку. Новая порция украденных из ЦРУ документов появилась на WikiLeaks. Свежий подгон назван пафосно Dark Matter, однако документы в нем уже не первой свежести, датированные 2008-2012 годам. Тем не менее, представление о методах и возможностях американской разведслужбы они дают.
Читать полностью »