WikiLeaks начинает раскрывать новую серию утечек в Центральном разведывательном агентстве США

Во вторник, 7 марта 2017 года, WikiLeaks начинает раскрывать новую серию утечек в Центральном разведывательном агентстве США. Кодовое название «Vault 7» от WikiLeaks — это самая крупная публикация конфиденциальных документов в агентстве.
Первая полная часть серии «Year Zero» включает 8 761 документов и файлов из изолированной сети с высоким уровнем безопасности, расположенной в Центре кибер-разведки ЦРУ в Langley, Virgina. Это следует вводному раскрытию в прошлом месяце ЦРУ, нацеленного на французские политические партии и кандидатов в преддверии президентских выборов 2012 года .
В последнее время ЦРУ потеряло контроль над большинством своего хакерского арсенала, включая вредоносные программы, вирусы, трояны, вооружённые эксплойты «zero day», системы удаленного управления вредоносной программой и сопутствующую документацию. Эта экстраординарная коллекция, которая составляет более нескольких сотен миллионов строк кода, дает своему обладателю всю способность взлома ЦРУ.

Похоже, что архив был распространен среди бывших правительственных хакеров и подрядчиков США несанкционированным образом, один из которых предоставил WikiLeaks части архива.
«Year Zero» представляет масштаб и направление глобальной скрытой программы взлома ЦРУ, ее арсенал вредоносных программ и десятки»zero day» подстрекаемых эксплойтов против широкого спектра американских и европейских продуктов компании, включая Apple iPhone, Android от Google и Microsoft Windows и Даже телевизоры Samsung, которые превращаются в скрытые микрофоны.
С 2001 года ЦРУ получило политическое и бюджетное преимущество над Агентством национальной безопасности США (NSA). ЦРУ оказалось не только своим нынешним печально известным флотом беспилотных летательных аппаратов, но и совсем другим типом скрытой, охватывающей весь мир силы — своего собственного огромного флота хакеров.

Взломанное подразделение агентства освободило его от необходимости раскрывать свои часто противоречивые действия Национальному агентству национальной безопасности (его основному бюрократическому конкуренту), чтобы использовать возможности взлома NSA.
К концу 2016 года подразделение взлома ЦРУ, официально входящее в состав Центра кибернетической разведки (CCI), имело более 5000 зарегистрированных пользователей и выпустило более тысячи систем взлома, троянов, вирусов и других «вредоносных» программных средств .

Таковы масштабы обязательства ЦРУ, согласно которому к 2016 году его хакеры использовали больше кода, чем тот, который использовался для запуска Facebook*.

ЦРУ фактически создало «собственный НСА» с еще меньшей подотчетностью и без публичного ответа на вопрос о том, можно ли оправдать столь масштабные бюджетные расходы на дублирование возможностей конкурирующего агентства.
В заявлении WikiLeaks источник детализирует вопросы политики, которые, по их словам, срочно нужно обсуждать публично, в том числе, превосходят ли хакерские возможности ЦРУ его мандатные полномочия и проблему общественного надзора со стороны агентства. Источник хочет инициировать публичные дебаты о безопасности, создании, использовании, распространении и демократическом контроле кибервооружений.
Как только одно «оружие» кибер «свободно», оно может распространяться по всему миру в считанные секунды, чтобы его использовали соперничающие государства, кибер-мафия и подростковые хакеры.
Джулиан Ассанж, редактор WikiLeaks, заявил, что «существует чрезвычайно высокий риск распространения в разработке кибер-оружия». Можно провести сравнение между неконтролируемым распространением такого «оружия», которое является результатом неспособности сдерживать их в сочетании с их высоким уровнем рынка Но значение «Year Zero» выходит далеко за рамки выбора между кибервойной и киберпанией. Раскрытие информации также является исключительным с политической, юридической и судебной точек зрения ».
Wikileaks тщательно проанализировал раскрытие «Year Zero» и опубликовал документацию по существенным ЦРУ, избегая при этом распространения «вооруженных» кибервооружений до тех пор, пока не будет достигнут консенсус в отношении технического и политического характера программы ЦРУ и того, как такие «вооружения» должны анализироваться, разоружаться и публиковаться .
Wikileaks также решило отредактировать и анонимизировать некоторую идентифицирующую информацию в «Year Zero» для углубленного анализа. Эти редакционные изменения включают в себя десять тысяч целей ЦРУ и атак по всей Латинской Америке, Европе и Соединенным Штатам. Хотя мы знаем о несовершенных результатах любого выбранного подхода, мы по-прежнему привержены нашей модели публикации и отмечаем, что количество опубликованных страниц в «Vault 7» part one («Year Zero») уже затмевает общее количество страниц, опубликованных за Первые три года утечки Эдварда Сноудена.

Анализ

Вредоносные программы CIA нацелены на iPhone, Android, смарт-телевизоры

Средства вредоносного ПО и взлома CIA создаются EDG (Engineering Development Group), группой разработки программного обеспечения в CCI (Центр кибернетики), отдела, принадлежащего DDI ЦРУ (Дирекция по цифровым инновациям).

DDI является одним из пяти главных дирекций ЦРУ (более подробную информацию см. В этой организационной структуре ЦРУ).
EDG отвечает за разработку, тестирование и оперативную поддержку всех бэкдоров, эксплойтов, злонамеренных полезных нагрузок, троянов, вирусов и любых других видов вредоносного ПО, используемых ЦРУ в его тайных операциях по всему миру.
Возрастающая сложность методов наблюдения сравнялась с 1984 годом Джорджа Оруэлла, но «Weeping Angel», разработанный Отделом встраиваемых устройств ЦРУ (EDB) , который наводняет интеллектуальные телевизоры, превращая их в скрытые микрофоны, является, несомненно, наиболее символичной реализацией.
Нападение на смарт- телевизоры Samsung было разработано в сотрудничестве с MI5 / BTSS Соединенного Королевства. После заражения»Weeping Angel» помещает целевой телевизор в режим «Fake-Off», так что владелец ошибочно полагает, что телевизор выключен, когда он включен. В режиме «Fake-Off» телевизор работает как ошибка, записывая разговоры в комнате и отправляя их через Интернет на скрытый сервер ЦРУ.
По состоянию на октябрь 2014 года ЦРУ также рассматривало возможность заражения систем управления транспортными средствами, используемых современными автомобилями и грузовиками . Цель такого контроля не определена, но это позволит ЦРУ участвовать в почти незаметных убийствах.
Отделение мобильных устройств (MDB) ЦРУ разработало многочисленные атаки для удаленного взлома и управления популярными смартфонами. Зараженные телефоны могут быть проинструктированы о том, чтобы отправить ЦРУ пользовательские геолокации, аудио и текстовые сообщения, а также тайно активировать камеру и микрофон телефона.
Несмотря на меньшую долю iPhone (14,5%) мирового рынка смартфонов в 2016 году, специализированное подразделение в подразделении мобильного развития CIA производит вредоносное ПО, чтобы заражать, контролировать и распространять данные с iPhone и других продуктов Apple, работающих под управлением iOS, таких как iPads . В арсенале ЦРУ есть множество локальных и удаленных»zero day», разработанных ЦРУ или полученных от GCHQ, NSA, FBI или приобретенных у кибер-подрядчиков, таких как Baitshop. Несоразмерное внимание к iOS объясняется популярностью iPhone среди социальных, политических, дипломатических и бизнес-элит.
Подобный блок предназначен для Android от Google, который используется для запуска большинства смартфонов в мире (~ 85%), включая Samsung, HTC и Sony . В прошлом году было продано 1,15 миллиарда Android-телефонов. «Year Zero» показывает , что с 2016 года у ЦРУ было 24 «снаряженных» Android «zero day», которые он разработал и получил от GCHQ, NSA и кибер-подрядчиков.
Эти методы позволяют ЦРУ обходить шифрование WhatsApp, Signal, Telegram, Wiebo, Confide и Cloackman, взламывая «умные» телефоны, на которых они работают, и собирают аудио и трафик сообщений до применения шифрования.

Вредоносные программы CIA нацелены на Windows, OSx, Linux, маршрутизаторы

ЦРУ также предпринимает очень значительные усилия для заражения и контроля над пользователями Microsoft Windows вредоносными программами . Это включает в себя несколько локальных и удаленных боевых «zero day», вирусов прыжков с воздушным промежутком, таких как «Hammer Drill», который заражает программное обеспечение, распространяемое на CD / DVD, инфицирующие носители для таких съемных носителей, как USB , системы для скрытия данных на изображениях или в скрытых областях диска ( «Brutal Kangaroo») и сохранить свои вредоносные программы .
Многие из этих усилий по борьбе с инфекцией были сведены воедино Отделом автоматизированных имплантатов ЦРУ (AIB) , который разработал несколько систем для автоматизированного заражения и борьбы с вредоносными программами CIA, такими как «Assassin» и «Medusa».
Атаки на инфраструктуру и веб-серверы Интернета разрабатываются Сектором сетевых устройств (NDB) ЦРУ.
ЦРУ разработало автоматизированные многоплатформенные атаки и системы контроля за вредоносными программами, охватывающие Windows, Mac OS X, Solaris, Linux и другие, такие как «HIVE» EDB и связанные с ними инструменты «Cutthroat» и «Swindle», которые описаны в примерах Ниже .

Уязвимые места ЦРУ («zero days»)

После утечек Эдварда Сноудена о NSA американская технологическая отрасль получила от администрации Обамы обещание, что исполнительная власть будет раскрывать на постоянной основе, а не накапливать серьезные уязвимости, эксплойты, ошибки или «zero days» для Apple, Google, Microsoft и других американских производителей.
Серьезные уязвимости, не раскрываемые производителям, грозят огромному количеству населения и критической инфраструктуры, подверженной риску для иностранной разведки или киберпреступников, которые самостоятельно обнаруживают или слушают слухи об этой уязвимости. Если ЦРУ может обнаружить такие уязвимости, то это могут сделать другие.
Приверженность правительства США процессу участия в акции « Уязвимость» произошла после значительного лоббирования со стороны технологических компаний США, которые рискуют потерять свою долю на мировом рынке по сравнению с реальными и предполагаемыми скрытыми уязвимостями. Правительство заявило, что оно будет раскрывать все распространенные уязвимости, обнаруженные после 2010 года, на постоянной основе.
Документы «Year Zero» показывают, что ЦРУ нарушило обязательства администрации Обамы. Многие из уязвимостей, используемых в кибернетическом арсенале ЦРУ, широко распространены, и некоторые из них, возможно, уже были найдены конкурирующими разведывательными агентствами или киберпреступниками.
Например, конкретный вредоносный код CIA, показанный в «Year Zero», способен проникать, заражать и контролировать как телефон Android, так и программное обеспечение iPhone, которое запускает или запускает президентские учетные записи Twitter. ЦРУ атакует это программное обеспечение, используя скрытые уязвимости безопасности («zero days»), которыми обладает ЦРУ, но если ЦРУ может взломать эти телефоны, то и все остальные, кто получил или обнаружил эту уязвимость. Пока ЦРУ держит эти уязвимости скрытыми от Apple и Google (которые делают телефоны), они не будут исправлены, и телефоны останутся взломанными.
Такие же уязвимости существуют для всего населения, включая Кабинет министров США, Конгресс, топ-менеджеры, системные администраторы, сотрудники служб безопасности и инженеры. Скрывая эти недостатки безопасности у таких производителей, как Apple и Google, ЦРУ гарантирует, что он может взломать всех. За счет того, что они могут взломать все .

Программы «Кибервойны» — серьезный риск распространения

Кибернетическое оружие невозможно держать под эффективным контролем.
Хотя распространение ядерного оружия сдерживается огромными издержками и видимой инфраструктурой, связанными с сборкой достаточного количества расщепляющегося материала для производства критической массы ядерного оружия, кибер «оружие», которое когда-то было разработано, очень трудно сохранить.
Кибер-оружие — это на самом деле просто компьютерные программы, которые можно пиратствовать, как и любые другие. Поскольку они полностью состоят из информации, их можно быстро скопировать без каких-либо предельных затрат.
Обеспечение такого «оружия» особенно сложно, поскольку одни и те же люди, которые его разрабатывают и используют, обладают навыками для извлечения копий, не оставляя следов, иногда используя те же самые «оружия» против организаций, которые их содержат. Существуют значительные ценовые стимулы для государственных хакеров и консультантов для получения копий, поскольку существует глобальный «рынок уязвимостей», который будет платить сотни тысяч или миллионы долларов за копии такого «оружия». Точно так же подрядчики и компании, которые получают такое «оружие», иногда используют их в своих целях, получая преимущество над своими конкурентами в продаже «хакерских» услуг.
За последние три года разведывательный сектор Соединенных Штатов, состоящий из правительственных учреждений, таких как ЦРУ и НКА, и их подрядчиков, таких как Буз Аллан Гамильтон, подвергался беспрецедентной серии извлечения данных своими собственными работниками.
Ряд членов разведывательного сообщества, еще не публично названных, были арестованы или подвергнуты федеральным уголовным расследованиям в отдельных инцидентах.
Наиболее заметно, что 8 февраля 2017 года федеральное большое жюри США предъявило Гарольду Т. Мартину III обвинение в 20 пунктах неправильной секретной информации. Министерство юстиции утверждало, что он захватил около 50 000 гигабайт информации от Гарольда Т. Мартина III, которую он получил от секретных программ в NSA и ЦРУ, включая исходный код для многочисленных инструментов взлома.
Как только одно «оружие» кибер «свободно», оно может распространяться по всему миру в считанные секунды, чтобы его использовали равные государства, кибер-мафия и подростковые хакеры.
Консульство США во Франкфурте — скрытая база хакеров в ЦРУ
Помимо операций в Лэнгли, штат Вирджиния, ЦРУ также использует консульство США во Франкфурте в качестве скрытой базы для своих хакеров, охватывающих Европу, Ближний Восток и Африку.
Хакеры ЦРУ, действующие из консульства Франкфурта ( «Центр кибернетической разведки Европы» или CCIE), получают дипломатические («черные») паспорта и обложку Государственного департамента. Инструкции для входящих хакеров в ЦРУ заставляют германские контрразведывательные работы казаться несущественными: «Бриз через немецкую таможню, потому что у вас есть своя история с прикрытием к действию, и все, что они сделали, — это печать вашего паспорта»
Ваша конспирированная  история (для этой поездки)
Q: Почему ты здесь?
A: Поддержка технических консультаций в консульстве.
Две ранее опубликованные публикации WikiLeaks содержат дополнительную информацию о подходе ЦРУ к таможенным процедурам и процедурам вторичного скрининга .
Однажды во Франкфурте хакеры ЦРУ могут путешествовать без дальнейших пограничных проверок в 25 европейских странах, которые являются частью открытой границы Шенгенской зоны, включая Францию, Италию и Швейцарию.
Ряд методов электронной атаки ЦРУ разработаны для обеспечения физической близости. Эти методы атаки способны проникать в сети с высокой степенью защиты, которые отключены от Интернета, например базу данных записей полиции. В этих случаях сотрудник ЦРУ, агент или сотрудник разведки союзников, действующий по инструкциям, физически проникает в целевое рабочее место. Для этого злоумышленник снабжен USB-устройством, содержащим вредоносное ПО, разработанное для ЦРУ для этой цели, которое вставляется в целевой компьютер. Затем злоумышленник заражает и распаковывает данные на съемные носители. Например, система нападения ЦРУ «Fine Dining» предоставляет 24 приманки для использования шпионами ЦРУ. Для свидетелей шпион, похоже, запускает программу, показывающую видео (например, VLC), презентацию слайдов (Prezi), игру в компьютерную игру (Breakout2, 2048) или даже запуск поддельного антивирусного сканера (Kaspersky, McAfee, Sophos). Но пока приложение-приманка находится на экране, система подкладок автоматически заражается и разграбляется.

Как ЦРУ резко увеличило риски распространения

В том, что, несомненно, является одной из самых поразительных целей интеллекта в живой памяти, ЦРУ структурировало свой режим классификации таким образом, что для наиболее ценной для рынка части «Vault 7» — вредоносного ПО от CIA (имплантанты + zero days) LP) и Command and Control (C2) — у агентства мало юридических возможностей.
ЦРУ сделало эти системы несекретными.
Почему ЦРУ предпочло сделать свой киберарсенал неклассифицированным, показывает, как концепции, разработанные для использования в военных целях, нелегко пересекаются с «полем битвы» кибервойны.
Чтобы атаковать его цели, ЦРУ обычно требует, чтобы его имплантаты общались со своими программами управления через Интернет. Если классифицировать ЦРУ, программное обеспечение Command & Control и Listening Post, то сотрудники ЦРУ могут быть привлечены к уголовной ответственности или уволены за нарушение правил, запрещающих размещение секретной информации в Интернете. Следовательно, ЦРУ тайно запретило большую часть своего кибер-шпионажа / военного кодекса. Правительство США не может также защищать авторские права из-за ограничений в Конституции США. Это означает, что изготовители кибер-оружия и компьютерные хакеры могут свободно «пиратствовать» над этим «оружием», если они получены. ЦРУ прежде всего должно было полагаться на обфускацию, чтобы защитить свои секреты вредоносного ПО.
Обычные виды оружия, такие как ракеты, могут стрелять по противнику (т.е. в незащищенную зону). Близость или удар с целью взрывают боеприпасы, включая его секретные части. Поэтому военнослужащие не нарушают правила классификации путем стрельбы боеприпасами с секретными частями. Орднанс, скорее всего, взорвется. Если это не так, это не намерение оператора.
За последнее десятилетие операции по взлому США все чаще были наряжены на военном жаргоне, чтобы задействовать потоки финансирования Министерства обороны. Например, попытки «вредоносных инъекций» (коммерческий жаргон) или «капли для имплантатов» (жаргон NSA) называются «пожарами», как если бы стреляло оружие. Однако аналогия сомнительна.
В отличие от пуль, бомб или ракет, большинство вредоносных программ CIA предназначены для жизни в течение нескольких дней или даже лет после того, как они достигли своей «цели». Вредоносная программа CIA не «взрывается при ударе», а постоянно наносит ее цели. Чтобы заразить устройство цели, копии вредоносного ПО должны быть размещены на устройствах цели, предоставляя физическое владение вредоносным ПО цели. Чтобы экстрадировать данные обратно в ЦРУ или ждать дальнейших инструкций, вредоносное ПО должно взаимодействовать с системами CIA Command & Control (C2), размещенными на подключенных к Интернет серверам. Но такие серверы, как правило, не утверждены для хранения секретной информации, поэтому системы командования и управления ЦРУ также не классифицируются.
Успешная «атака» на компьютерную систему цели больше похожа на серию сложных маневров с запасами во враждебном тендере или тщательный сбор слухов, чтобы получить контроль над руководством организации, а не стрельбу из оружейной системы. Если есть военная аналогия, которая должна быть сделана, заражение цели, возможно, сродни выполнению целой серии военных маневров против территории цели, включая наблюдение, инфильтрацию, оккупацию и эксплуатацию.

Уклонение от судебной экспертизы и антивируса

Ряд стандартов раскрывает модели заражения вредоносными программами CIA, которые, вероятно, помогут следователям судебной экспертизы преступлений, а также Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens и антивирусные компании приписывают и защищают от атак.
«Tradecraft DO и DON’Ts» содержат правила ЦРУ о том, как следует писать вредоносное ПО, чтобы избежать отпечатков пальцев, подразумевающих «ЦРУ, правительство США или его партнеров-партнеров» в «судебно-медицинской экспертизе». Подобные секретные стандарты охватывают использование шифрования для скрытия хакерской и вредоносной связи CIA (pdf), описания целей и exfiltrated данных (pdf), а также выполнения полезных нагрузок (pdf) и сохранения (pdf) в машинах цели с течением времени.
Хакеры ЦРУ разработали успешные атаки против большинства известных антивирусных программ. Они документированы в AV- поражениях, в продуктах личной безопасности, в обнаружении и уничтожении PSP и PSP / Debugger / RE Avoidance . Например, Comodo был побежден злонамеренным программным обеспечением CIA, размещающим себя в «корзине» Window . Хотя Comodo 6.x имеет «Gaping Hole of DOOM» .
Хакеры ЦРУ обсудили, что сделали хакеры NSA в «Equation Group», и как вредоносные разработчики ЦРУ могли избежать подобного воздействия.

Примеры

Система управления инженерной группой ЦРУ (EDG) содержит около 500 различных проектов (только некоторые из которых документированы «Year Zero»), каждый из которых имеет свои собственные подпроекты, вредоносные программы и хакерские инструменты.
Большинство этих проектов связаны с инструментами, которые используются для проникновения, заражения («имплантирования»), управления и exfiltration.
Другая ветвь развития сосредоточена на разработке и эксплуатации систем Listening Posts (LP) и Command and Control (C2), используемых для связи с имплантатами ЦРУ и контроля им; Специальные проекты используются для нацеливания определенного оборудования с маршрутизаторов на интеллектуальные телевизоры.
Некоторые примеры проектов описаны ниже, но см. Оглавление полного списка проектов, описанного WikiLeaks «Year Zero».

UMBRAGE

Рука, созданная руками хакеров, представляет собой проблему для агентства. Каждый метод, который он создал, формирует «отпечаток пальца», который может быть использован судебными следователями для приписывания нескольких различных атак одному и тому же объекту.
Это аналогично обнаружению одного и того же отличительного ножевого ранения на нескольких отдельных жертвах убийства. Уникальный стиль ранения создает подозрение, что виновен один убийца. Как только будет решено одно убийство в наборе, другие убийства также находят вероятное приписывание.
Группа UMBRAGE отделения удаленных устройств ЦРУ собирает и хранит значительную библиотеку методов атаки, «украденных» из вредоносных программ, производимых в других штатах, включая Российскую Федерацию.
С UMBRAGE и связанными с ними проектами ЦРУ может не только увеличить общее количество типов атак, но и неверно распределить атрибуты, оставив «отпечатки пальцев» групп, от которых были похищены методы атаки.
Компоненты UMBRAGE включают в себя клавиатурные шпионы, сбор паролей, захват веб-камеры, уничтожение данных, настойчивость, эскалацию привилегий, скрытность, антивирусные (PSP) методы и методы опроса.

Fine Dining

В «Изысканной кухне» есть стандартная анкета, то есть меню, которое заполняют сотрудники ЦРУ. Опросный лист используется отделом оперативной поддержки (OSB) агентства для преобразования запросов сотрудников по делу в технические требования для хакерских атак (обычно «exfiltrating» информация из компьютерных систем) для конкретных операций. Вопросник позволяет OSB определить, как адаптировать существующие инструменты для операции, и сообщить об этом персоналу конфигурации вредоносных программ CIA. OSB функционирует как интерфейс между оперативным персоналом ЦРУ и соответствующим персоналом технической поддержки.
Среди перечня возможных объектов коллекции можно назвать «Активы», «Лиасон Ассет», «Системный администратор», «Операции с иностранной информацией», «Агентства внешней разведки» и «Иностранные государственные структуры». Примечательно отсутствие каких-либо ссылок на экстремистов или транснациональных преступников. «Сотруднику по делу» также предлагается указать среду целевого объекта, такую ​​как тип компьютера, используемая операционная система, подключение к Интернету и установленные антивирусные утилиты (PSP), а также список типов файлов, подлежащих экстракции, таких как документы Office , Аудио, видео, изображения или пользовательские типы файлов. «Меню» также запрашивает информацию, если возможен повторный доступ к цели и как долго может сохраняться ненаблюдаемый доступ к компьютеру. Эта информация используется программным обеспечением ЦРУ «JQJIMPROVISE» (см. Ниже) для настройки набора вредоносных программ CIA, соответствующих конкретным потребностям операции.

IMPROVISE (JQJIMPROVISE)

«Импровизация» — это набор инструментов для настройки, постобработки, настройки полезной нагрузки и выбора вектора выполнения для инструментов съемки / извлечения, поддерживающих все основные операционные системы, такие как Windows (Bartender), MacOS (JukeBox) и Linux (DanceFloor). Его утилиты конфигурирования, такие как Margarita, позволяют NOC (Network Operation Center) настраивать инструменты, основанные на требованиях из вопросов «Fine Dining».

HIVE

HIVE — это многоплатформенный набор вредоносных программ CIA и связанное с ним программное обеспечение для управления. Проект предусматривает настраиваемые импланты для Windows, Solaris, MikroTik (используемые в интернет-маршрутизаторах) и Linux-платформ и инфраструктуру Listening Post (LP) / Command and Control (C2) для связи с этими имплантатами.
Имплантаты настроены для связи через HTTPS с веб-сервером домена обложек; Каждая операция, использующая эти имплантаты, имеет отдельный домен покрытия, и инфраструктура может обрабатывать любое количество областей обложек.
Каждый домен обложек разделяется на IP-адрес, который находится у коммерческого поставщика VPS (Virtual Private Server). Публичный сервер пересылает весь входящий трафик через VPN на сервер «Blot», который обрабатывает фактические запросы на подключение от клиентов. Это настройка для дополнительной аутентификации клиента SSL: если клиент отправляет действительный сертификат клиента (только имплантаты могут это сделать), соединение пересылается на сервер инструментов «Honeycomb», который взаимодействует с имплантатом; Если действительный сертификат отсутствует (что имеет место, если кто-то пытается открыть веб-сайт домена обложек случайно), трафик перенаправляется на сервер обложек, который обеспечивает неприглядный веб-сайт.
Honeycomb toolserver получает exfiltrated информацию от имплантата; Оператор может также назначить имплантату выполнение заданий на целевом компьютере, поэтому сервер инструментов действует как сервер C2 (команда и управление) для имплантата.
Аналогичная функциональность (хотя и ограниченная Windows) предоставляется проектом RickBobby.
См. Руководство для пользователей и разработчиков для HIVE.

Часто задаваемые вопросы

Почему сейчас?
WikiLeaks опубликовал, как только его проверка и анализ были готовы.
В феврале администрация Трампа издала распоряжение, в котором содержится призыв к проведению обзора «Кибервойны», который должен быть подготовлен в течение 30 дней.
Хотя обзор повышает своевременность и актуальность публикации, он не играет роли в определении даты публикации.

Редактирование

Имена, адреса электронной почты и внешние IP-адреса были отредактированы на опубликованных страницах (всего 70875 редиректов) до завершения дальнейшего анализа.
1. Чрезмерное редактирование: некоторые элементы, возможно, были отредактированы, но не являются сотрудниками, подрядчиками, целевыми группами или иным образом связаны с агентством, но являются, например, авторами документации для других публичных проектов, которые используются агентством.
2. Identity против person: отредактированные имена заменяются идентификаторами пользователей (номерами), чтобы позволить читателям назначать несколько страниц одному автору. При использовании процесса редактирования один человек может быть представлен более чем одним назначенным идентификатором, но ни один идентификатор не относится к более чем одному реальному человеку.
3. Архивные вложения (zip, tar.gz, …) заменяются PDF-файлом, в котором перечислены все имена файлов в архиве. Поскольку содержание архива оценивается, оно может быть доступно; До этого архив отредактирован.
4. Вложения с другим двоичным содержимым заменяются шестнадцатеричным дампом содержимого, чтобы предотвратить случайный вызов двоичных файлов, которые могли быть заражены зараженными вредоносными программами CIA. Поскольку содержание оценивается, оно может быть доступно; До тех пор пока содержимое не будет отредактировано.
5. Десятки тысяч маршрутизируемых ссылок на IP-адреса (в том числе более 22 тыс. В США), которые соответствуют возможным целям, скрытым прослушивающим почтовым серверам ЦИА, промежуточным и тестовым системам, редактируются для дальнейшего эксклюзивного расследования.
6. Двоичные файлы непубличного происхождения доступны только в качестве дампов, чтобы предотвратить случайный запуск двоичных файлов, зараженных вредоносными программами CIA.
Организационная структура
Организационная схема соответствует материалу, опубликованному WikiLeaks до сих пор.
Поскольку организационная структура ЦРУ ниже уровня Дирекций не является публичной, размещение EDG и ее филиалов в организационной структуре агентства восстанавливается из информации, содержащейся в документах, опубликованных до настоящего времени. Он предназначен для использования в качестве приблизительного описания внутренней организации; Имейте в виду, что восстановленная организационная диаграмма является неполной и часто происходят внутренние реорганизации.

Страницы Wiki

«Year Zero» содержит 7818 веб-страниц с 943 вложениями из внутренней групповой разработки. Программное обеспечение, используемое для этой цели, называется Confluence, проприетарным программным обеспечением от Atlassian. Веб-страницы в этой системе (например, в Википедии) имеют историю версий, которая может предоставить интересные сведения о том, как документ развивался с течением времени;7818 документов включают в себя эти истории страниц для 1136 последних версий.
Порядок названных страниц в каждом уровне определяется по дате (самый старший сначала). Содержимое страницы отсутствует, если оно изначально было динамически создано программным обеспечением Confluence (как указано на восстановленной странице).
Какой период охвачен?
В период с 2013 по 2016 год. Порядок сортировки страниц на каждом уровне определяется по дате (наиболее ранний из них).
WikiLeaks получил дату создания / последней модификации ЦРУ для каждой страницы, но они пока не появляются по техническим причинам. Обычно дату можно определить или приблизить к содержимому и порядку страницы. Если важно знать точное время / дату, свяжитесь с WikiLeaks.
Что такое «Vault 7»?
—«Vault 7» — это существенный сборник материалов о деятельности ЦРУ, полученных WikiLeaks.
Когда была получена каждая часть «Vault 7»?
—Часть первая была получена недавно и распространяется до 2016 года. Подробности на других частях будут доступны на момент публикации.
Каждая часть «Vault 7» из разных источников?
—Подробности о других частях будут доступны на момент публикации.

Каков общий размер «Vault 7»?
-Серия является крупнейшим разведывательным изданием в истории.

Как WikiLeaks получил каждую часть «Vault 7»?
-Источники доверяют WikiLeaks не раскрывать информацию, которая могла бы помочь идентифицировать их.
Разве WikiLeaks не обеспокоена тем, что ЦРУ будет действовать против своего персонала, чтобы остановить серию?
— Нет. Это было бы контрпродуктивно.
WikiLeaks уже «заминировал» все лучшие истории?
— Нет. WikiLeaks специально не составил сотни впечатляющих историй, чтобы побудить других находить их и таким образом создавать опыт в этой области для последующих частей в этой серии расследования. 

Оригинальная статья https://wikileaks.org/ciav7p1/ (англ.яз)

*Meta Platforms Inc. (соц.сети Facebook, Instagram) признана экстремистской, ее деятельность запрещена на территории России.