Разработка сайтов
  • Создание сайтов
    Новости интернета
    07 марта 2017 г. WikiLeaks начинает новую серию утечек в ЦРУ

    Пресс-релиз

    Сегодня, во вторник, 7 марта 2017 года, WikiLeaks начинает новую серию утечек в Центральном разведывательном агентстве США. Кодовое название «Vault 7» от WikiLeaks - это самая крупная публикация конфиденциальных документов в агентстве.

    Первая полная часть серии «Год нуля» включает 8 761 документ и файлы из изолированной сети с высоким уровнем безопасности, расположенной в Центре кибер-разведки ЦРУ в Лэнгли, Виргина. Это следует вводному раскрытию в прошлом месяце ЦРУ, нацеленного на французские политические партии и кандидатов в преддверии президентских выборов 2012 года.

    В последнее время ЦРУ потеряло контроль над большинством своего хакерского арсенала, включая вредоносные программы, вирусы, трояны, вредоносные «ноль-дневные» эксплойты, системы удаленного управления вредоносными программами и сопутствующую документацию. Эта экстраординарная коллекция, которая составляет более нескольких сотен миллионов строк кода, дает своему обладателю всю способность взлома ЦРУ. Похоже, архив был распространен среди бывших хакеров штата и подрядчиков США несанкционированным образом, один из которых предоставил WikiLeaks части архива.

    «Year Zero» представляет масштаб и направление глобальной скрытой программы взлома ЦРУ, ее арсенал вредоносных программ и десятки «ноль-дневных» подстрекаемых эксплойтов против широкого спектра американских и европейских продуктов компании, включая Apple iPhone, Android от Google и Microsoft Windows и Даже телевизоры Samsung, которые превращаются в скрытые микрофоны.

    С 2001 года ЦРУ приобрело политическое и бюджетное превосходство над Агентством национальной безопасности США (NSA). ЦРУ оказалось не только своим нынешним печально известным флотом беспилотных летательных аппаратов, но и совсем другим типом скрытой, охватывающей весь мир силы - своего собственного огромного флота хакеров. Взломанное подразделение агентства освободило его от необходимости раскрывать свои часто противоречивые действия Национальному агентству национальной безопасности (его основному бюрократическому конкуренту), чтобы использовать возможности взлома NSA.

    К концу 2016 года подразделение взлома ЦРУ, официально входящее в состав Центра кибернетической разведки (CCI), имело более 5000 зарегистрированных пользователей и выпустило более тысячи хакерских систем, троянов, вирусов и других «вредоносных» программных продуктов . Таковы масштабы обязательства ЦРУ, согласно которому к 2016 году его хакеры использовали больше кода, чем тот, который использовался для запуска Facebook. ЦРУ фактически создало «собственный НСА» с еще меньшей подотчетностью и без публичного ответа на вопрос о том, можно ли оправдать столь масштабные расходы бюджета на дублирование возможностей конкурирующего агентства.

    В заявлении WikiLeaks источник детализирует вопросы политики, которые, по их словам, срочно нужно обсуждать публично, в том числе, превосходят ли хакерские возможности ЦРУ его мандатные полномочия и проблему общественного надзора со стороны агентства. Источник хочет инициировать публичные дебаты о безопасности, создании, использовании, распространении и демократическом контроле кибервооружений.

    Как только одно «оружие» кибер «свободно», оно может распространяться по всему миру в считанные секунды, чтобы его использовали соперничающие государства, кибер-мафия и подростковые хакеры.

    Джулиан Ассанж, редактор WikiLeaks, заявил, что «существует чрезвычайно высокий риск распространения в разработке кибер-оружия». Можно провести сравнение между неконтролируемым распространением такого «оружия», которое является результатом неспособности сдерживать их в сочетании с их высоким уровнем рынка Но значение «Year Zero» выходит далеко за рамки выбора между кибервойной и киберпанией. Раскрытие информации также является исключительным с политической, юридической и судебной точек зрения ».

    Wikileaks тщательно проанализировал раскрытие «Year Zero» и опубликовал документацию по существенным ЦРУ, избегая при этом распространения «вооруженных» кибервооружений до тех пор, пока не будет достигнут консенсус в отношении технического и политического характера программы ЦРУ и того, как такие «вооружения» должны анализироваться, разоружаться и публиковаться .

    Wikileaks также решило отредактировать и анонимизировать некоторую идентифицирующую информацию в «Year Zero» для углубленного анализа. Эти редакционные изменения включают в себя десять тысяч целей ЦРУ и атак по всей Латинской Америке, Европе и Соединенным Штатам. Хотя мы знаем о несовершенных результатах любого выбранного подхода, мы по-прежнему привержены нашей модели публикации и отмечаем, что количество опубликованных страниц в «Vault 7» part one («Year Zero») уже затмевает общее количество страниц, опубликованных за Первые три года утечки Эдварда Сноудена. Анализ

    Анализ

    Вредоносные программы CIA нацелены на iPhone, Android, смарт-телевизоры

    Средства вредоносного ПО и взлома CIA создаются EDG (Engineering Development Group), группой разработки программного обеспечения в CCI (Центр кибернетики), отдела, принадлежащего DDI ЦРУ (Дирекция по цифровым инновациям). DDI является одним из пяти главных дирекций ЦРУ (более подробную информацию см. В этой организационной структуре ЦРУ).

    EDG отвечает за разработку, тестирование и оперативную поддержку всех бэкдоров, эксплойтов, злонамеренных полезных нагрузок, троянов, вирусов и любых других видов вредоносного ПО, используемых ЦРУ в его тайных операциях по всему миру.

    Возрастающая сложность методов наблюдения сравнялась с 1984 годом Джорджа Оруэлла, но «Плачущий ангел», разработанный Отделом встраиваемых устройств ЦРУ (EDB), который наводняет интеллектуальные телевизоры, превращая их в скрытые микрофоны, является, несомненно, наиболее символичной реализацией.

    Нападение на смарт-телевизоры Samsung было разработано в сотрудничестве с MI5 / BTSS Соединенного Королевства. После заражения плачущий ангел помещает целевой телевизор в режим «Fake-Off», так что владелец ошибочно полагает, что телевизор выключен, когда он включен. В режиме «Fake-Off» телевизор работает как ошибка, записывая разговоры в комнате и отправляя их через Интернет на скрытый сервер ЦРУ.

    По состоянию на октябрь 2014 года ЦРУ также рассматривало возможность заражения систем управления транспортными средствами, используемых современными автомобилями и грузовиками. Цель такого контроля не определена, но это позволит ЦРУ участвовать в почти незаметных убийствах.

    Отделение мобильных устройств (MDB) ЦРУ разработало многочисленные атаки для удаленного взлома и управления популярными смартфонами. Зараженные телефоны могут быть проинструктированы о том, чтобы отправить ЦРУ пользовательские геолокации, аудио и текстовые сообщения, а также тайно активировать камеру и микрофон телефона.

    Несмотря на меньшую долю iPhone (14,5%) мирового рынка смартфонов в 2016 году, специализированное подразделение в подразделении мобильного развития CIA производит вредоносное ПО, чтобы заражать, контролировать и распространять данные с iPhone и других продуктов Apple, работающих под управлением iOS, таких как iPads. В арсенале ЦРУ есть множество локальных и удаленных «нулевых дней», разработанных ЦРУ или полученных от GCHQ, NSA, FBI или приобретенных у кибер-подрядчиков, таких как Baitshop. Несоразмерное внимание к iOS объясняется популярностью iPhone среди социальных, политических, дипломатических и бизнес-элит.

    Подобный блок предназначен для Android от Google, который используется для запуска большинства смартфонов в мире (~ 85%), включая Samsung, HTC и Sony. В прошлом году было продано 1,15 миллиарда Android-телефонов. «Year Zero» показывает, что с 2016 года у ЦРУ было 24 «снаряженных» Android «нулевые дни», которые он разработал и получил от GCHQ, NSA и кибер-подрядчиков.

    Эти методы позволяют ЦРУ обходить шифрование WhatsApp, Signal, Telegram, Wiebo, Confide и Cloackman, взламывая «умные» телефоны, на которых они работают, и собирают аудио и трафик сообщений до применения шифрования.

    Вредоносные программы CIA нацелены на Windows, OSx, Linux, маршрутизаторы

    ЦРУ также предпринимает очень значительные усилия для заражения и контроля над пользователями Microsoft Windows вредоносными программами. Это включает в себя несколько локальных и удаленных боевых «нулевых дней», вирусов прыжков с воздушным промежутком, таких как «Hammer Drill», который заражает программное обеспечение, распространяемое на CD / DVD, инфицирующие носители для таких съемных носителей, как USB, системы для скрытия данных на изображениях или в скрытых областях диска («Жестокий кенгуру») и сохранить свои вредоносные программы.

    Многие из этих усилий по борьбе с инфекцией были сведены воедино Отделом автоматизированных имплантатов ЦРУ (AIB), который разработал несколько систем для автоматизированного заражения и борьбы с вредоносными программами CIA, такими как «Assassin» и «Medusa».

    Атаки на инфраструктуру и веб-серверы Интернета разрабатываются Сектором сетевых устройств (NDB) ЦРУ.

    ЦРУ разработало автоматизированные многоплатформенные атаки и системы контроля за вредоносными программами, охватывающие Windows, Mac OS X, Solaris, Linux и другие, такие как «HIVE» EDB и связанные с ними инструменты «Cutthroat» и «Swindle», которые описаны в примерах Ниже.

    Уязвимые места ЦРУ («нулевые дни»)

    После утечек Эдварда Сноудена о NSA американская технологическая отрасль получила от администрации Обамы обещание, что исполнительная власть будет раскрывать на постоянной основе, а не накапливать серьезные уязвимости, эксплойты, ошибки или «нулевые дни» для Apple, Google, Microsoft и других американских производителей.

    Серьезные уязвимости, не раскрываемые производителям, грозят огромному количеству населения и критической инфраструктуры, подверженной риску для иностранной разведки или киберпреступников, которые самостоятельно обнаруживают или слушают слухи об этой уязвимости. Если ЦРУ может обнаружить такие уязвимости, то это могут сделать другие.

    Приверженность правительства США процессу участия в акции «Уязвимость» произошла после значительного лоббирования со стороны технологических компаний США, которые рискуют потерять свою долю на мировом рынке по сравнению с реальными и воспринимаемыми скрытыми уязвимостями. Правительство заявило, что оно будет раскрывать все распространенные уязвимости, обнаруженные после 2010 года, на постоянной основе.

    Документы «Year Zero» показывают, что ЦРУ нарушило обязательства администрации Обамы. Многие из уязвимостей, используемых в кибернетическом арсенале ЦРУ, широко распространены, и некоторые из них, возможно, уже были найдены конкурирующими разведывательными агентствами или киберпреступниками.

    Например, конкретный вредоносный код CIA, показанный в «Year Zero», способен проникать, заражать и контролировать как телефон Android, так и программное обеспечение iPhone, которое запускает или запускает президентские учетные записи Twitter. ЦРУ атакует это программное обеспечение, используя скрытые уязвимости безопасности («нулевые дни»), которыми обладает ЦРУ, но если ЦРУ может взломать эти телефоны, то и все остальные, кто получил или обнаружил эту уязвимость. Пока ЦРУ держит эти уязвимости скрытыми от Apple и Google (которые делают телефоны), они не будут исправлены, и телефоны останутся взломанными.

    Такие же уязвимости существуют для всего населения, включая Кабинет США, Конгресс, топ-менеджеры, системные администраторы, сотрудники служб безопасности и инженеры. Скрывая эти недостатки безопасности у таких производителей, как Apple и Google, ЦРУ гарантирует, что он может взломать всех & mdsh; За счет того, что все они могут взломать.

    Программы «Кибервойны» - серьезный риск распространения

    Кибернетическое оружие невозможно держать под эффективным контролем.

    Хотя распространение ядерного оружия сдерживается огромными издержками и видимой инфраструктурой, связанными с сборкой достаточного количества расщепляющегося материала для производства критической ядерной массы, кибер «оружие», которое когда-то было разработано, очень трудно сохранить.

    Кибер-оружие - это на самом деле просто компьютерные программы, которые можно пиратствовать, как и любые другие. Поскольку они полностью состоят из информации, их можно быстро скопировать без каких-либо предельных затрат.

    Обеспечение такого «оружия» особенно сложно, поскольку одни и те же люди, которые его разрабатывают и используют, обладают навыками для извлечения копий, не оставляя следов, иногда используя те же самые «оружия» против организаций, которые их содержат. Существуют существенные ценовые стимулы для государственных хакеров и консультантов для получения копий, поскольку существует глобальный «рынок уязвимостей», который будет платить сотни тысяч или миллионы долларов за копии такого «оружия». Точно так же подрядчики и компании, которые получают такое «оружие», иногда используют их в своих целях, получая преимущество над своими конкурентами в продаже «хакерских» услуг.

    За последние три года разведывательный сектор Соединенных Штатов, состоящий из правительственных учреждений, таких как ЦРУ и НКА, и их подрядчиков, таких как Буз Аллан Гамильтон, подвергался беспрецедентной серии извлечения данных своими работниками.

    Ряд членов разведывательного сообщества, еще не публично названных, были арестованы или подвергнуты федеральным уголовным расследованиям в отдельных инцидентах.

    Наиболее заметно, что 8 февраля 2017 года федеральное большое жюри США предъявило Гарольду Т. Мартину III обвинение в 20 пунктах неправильной секретной информации. Министерство юстиции утверждало, что он изъял около 50 000 гигабайт информации от Гарольда Т. Мартина III, которую он получил от секретных программ в NSA и ЦРУ, включая исходный код для многочисленных инструментов взлома.

    Как только одно «оружие» кибер «свободно», оно может распространяться по всему миру в считанные секунды, чтобы его использовали равные государства, кибер-мафия и подростковые хакеры.

    Консульство США во Франкфурте является тайной хакерской базой ЦРУ

    В дополнение к своим операциям в Лэнгли, штат Вирджиния, ЦРУ также использует консульство США во Франкфурте в качестве скрытой базы для своих хакеров, охватывающих Европу, Ближний Восток и Африку.

    Хакеры ЦРУ, действующие из консульства Франкфурта («Центр кибернетической разведки Европы» или CCIE), получают дипломатические («черные») паспорта и обложку Государственного департамента. Инструкции для входящих хакеров в ЦРУ заставляют германские контрразведывательные работы казаться несущественными: «Бриз через немецкую таможню, потому что у вас есть своя история с прикрытием к действию, и все, что они сделали, - это печать вашего паспорта»

    Ваша Покровная история (для этой поездки) Q: Почему ты здесь? A: Поддержка технических консультаций в консульстве.

    Две ранее опубликованные публикации WikiLeaks содержат дополнительную информацию о подходе ЦРУ к таможенным процедурам и процедурам вторичного скрининга.

    Однажды во Франкфурте хакеры ЦРУ могут путешествовать без дальнейших пограничных проверок в 25 европейских странах, которые являются частью открытой границы Шенгенской зоны, включая Францию, Италию и Швейцарию.

    Ряд методов электронной атаки ЦРУ разработаны для обеспечения физической близости. Эти методы атаки способны проникать в сети с высокой степенью защиты, которые отключены от Интернета, например базу данных записей полиции. В этих случаях сотрудник ЦРУ, агент или сотрудник разведки союзников, действующий по инструкциям, физически проникает в целевое рабочее место. Для этого злоумышленник снабжен USB-устройством, содержащим вредоносное ПО, разработанное для ЦРУ для этой цели, которое вставляется в целевой компьютер. Затем злоумышленник заражает и распаковывает данные на съемные носители. Например, система нападения ЦРУ «Прекрасное питание» предоставляет 24 приманки для использования шпионами ЦРУ. Для свидетелей шпион, похоже, запускает программу, показывающую видео (например, VLC), презентацию слайдов (Prezi), игру в компьютерную игру (Breakout2, 2048) или даже запуск поддельного антивирусного сканера (Kaspersky, McAfee, Sophos). Но пока приложение-приманка находится на экране, система подкладок автоматически заражается и разграбляется.

    Как ЦРУ резко увеличило риски распространения

    В том, что, несомненно, является одной из самых поразительных целей интеллекта в живой памяти, ЦРУ структурировало свой режим классификации таким образом, что для наиболее ценной для рынка части «Vault 7» - вредоносного ПО от CIA (имплантанты + ноль дней) LP) и Command and Control (C2) - у агентства мало юридических возможностей.

    ЦРУ сделало эти системы несекретными.

    Почему ЦРУ предпочло сделать свой киберарсеналь неклассифицированным, показывает, как концепции, разработанные для использования в военных целях, нелегко пересекаются с «полем битвы» кибервойны.

    Чтобы атаковать его цели, ЦРУ обычно требует, чтобы его имплантаты общались со своими программами управления через Интернет. Если классифицировать ЦРУ, программное обеспечение Command & Control и Listening Post, то сотрудники ЦРУ могут быть привлечены к уголовной ответственности или уволены за нарушение правил, запрещающих размещение секретной информации в Интернете. Следовательно, ЦРУ тайно запретило большую часть своего кибер-шпионажа / военного кодекса. Правительство США не может также защищать авторские права из-за ограничений в Конституции США. Это означает, что изготовители кибер-оружия и компьютерные хакеры могут свободно «пиратствовать» над этим «оружием», если они будут получены. ЦРУ прежде всего должно было полагаться на обфускацию, чтобы защитить свои секреты вредоносного ПО.

    Обычные виды оружия, такие как ракеты, могут стрелять по противнику (т. Е. В незащищенную зону). Близость или удар с целью взрывают боеприпасы, включая его секретные части. Поэтому военнослужащие не нарушают правила классификации путем стрельбы боеприпасами с секретными частями. Орднанс, скорее всего, взорвется. Если это не так, это не намерение оператора.

    За последнее десятилетие операции по взлому в США все чаще были одеты в военный жаргон, чтобы задействовать потоки финансирования министерства обороны. Например, попытки «вредоносных инъекций» (коммерческий жаргон) или «капли для имплантатов» (жаргон NSA) называются «пожарами», как если бы стреляло оружие. Однако аналогия сомнительна.

    В отличие от пуль, бомб или ракет, большинство вредоносных программ CIA предназначены для жизни в течение нескольких дней или даже лет после того, как они достигли своей «цели». Вредоносная программа CIA не «взрывается при ударе», а постоянно наносит ее цели. Чтобы заразить устройство цели, копии вредоносного ПО должны быть размещены на устройствах цели, предоставляя физическое владение вредоносным ПО цели. Чтобы экстрадировать данные обратно в ЦРУ или ждать дальнейших инструкций, вредоносное ПО должно взаимодействовать с системами CIA Command & Control (C2), размещенными на подключенных к интернет серверам. Но такие серверы, как правило, не утверждены для хранения секретной информации, поэтому системы командования и управления ЦРУ также не классифицируются.

    Успешная «атака» на компьютерную систему цели больше похожа на серию сложных маневров с запасами во враждебном тендере или тщательный сбор слухов, чтобы получить контроль над руководством организации, а не стрельбу из оружейной системы. Если есть военная аналогия, которая должна быть сделана, заражение цели, возможно, сродни выполнению целой серии военных маневров против территории цели, включая наблюдение, инфильтрацию, оккупацию и эксплуатацию.

    Уклонение от судебной экспертизы и антивируса

    Ряд стандартов раскрывает модели заражения вредоносными программами CIA, которые, вероятно, помогут следователям судебной экспертизы преступлений, а также Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens и антивирусные компании приписывают и защищают от атак. «Tradecraft DO и DON'Ts» содержат правила ЦРУ о том, как следует писать вредоносное ПО, чтобы избежать отпечатков пальцев, подразумевающих «ЦРУ, правительство США или его партнеров-партнеров» в «судебно-медицинской экспертизе». Подобные секретные стандарты охватывают использование шифрования для скрытия хакерской и вредоносной связи CIA (pdf), описания целей и exfiltrated данных (pdf), а также выполнения полезных нагрузок (pdf) и сохранения (pdf) в машинах цели с течением времени.

    Хакеры ЦРУ разработали успешные атаки против большинства известных антивирусных программ. Они документированы в AV-поражениях, в продуктах личной безопасности, в обнаружении и уничтожении PSP и PSP / Debugger / RE Avoidance. Например, Comodo был побежден злонамеренным программным обеспечением CIA, размещающим себя в «корзине» Window. Хотя Comodo 6.x имеет «Gaping Hole of DOOM».

    Хакеры ЦРУ обсудили, что сделали хакеры NSA в «Equation Group», и как вредоносные разработчики ЦРУ могли избежать подобного воздействия.

    Примеры

    Система управления инженерной группой ЦРУ (EDG) содержит около 500 различных проектов (только некоторые из которых документированы «Year Zero»), каждый из которых имеет свои собственные подпроекты, вредоносные программы и хакерские инструменты.

    Большинство этих проектов связаны с инструментами, которые используются для проникновения, заражения («имплантирования»), управления и exfiltration.

    Другая ветвь развития сосредоточена на разработке и эксплуатации систем Listening Posts (LP) и Command and Control (C2), используемых для связи с имплантатами ЦРУ и контроля им; Специальные проекты используются для нацеливания определенного оборудования с маршрутизаторов на интеллектуальные телевизоры.

    Некоторые примеры проектов описаны ниже, но см. Оглавление полного списка проектов, описанного WikiLeaks «Year Zero».

    UMBRAGE

    Рука, созданная руками хакеров, представляет собой проблему для агентства. Каждый метод, который он создал, формирует «отпечаток пальца», который может быть использован судебными следователями для приписывания нескольких различных атак одному и тому же объекту.

    Это аналогично обнаружению одного и того же отличительного ножевого ранения на нескольких отдельных жертвах убийства. Уникальный стиль ранения создает подозрение, что виновен один убийца. Как только будет решено одно убийство в наборе, другие убийства также находят вероятное приписывание.

    Группа UMBRAGE отделения удаленных устройств ЦРУ собирает и поддерживает обширную библиотеку методов атаки, «украденных» из вредоносного ПО, производимого в других штатах, включая Российскую Федерацию.

    С UMBRAGE и связанными с ними проектами ЦРУ может не только увеличить общее количество типов атак, но и неверно распределить атрибуты, оставив «отпечатки пальцев» групп, от которых были похищены методы атаки.

    Компоненты UMBRAGE включают в себя клавиатурные шпионы, сбор паролей, захват веб-камеры, уничтожение данных, настойчивость, эскалацию привилегий, скрытность, антивирусные (PSP) методы и методы опроса.

    Изысканная кухня

    В «Изысканной кухне» есть стандартная анкета, то есть меню, которое заполняют сотрудники ЦРУ. Опросный лист используется отделом оперативной поддержки (OSB) агентства для преобразования запросов сотрудников по делу в технические требования для хакерских атак (обычно «exfiltrating» информация из компьютерных систем) для конкретных операций. Вопросник позволяет OSB определить, как адаптировать существующие инструменты для операции, и сообщить об этом персоналу конфигурации вредоносных программ CIA. OSB функционирует как интерфейс между оперативным персоналом ЦРУ и соответствующим персоналом технической поддержки.

    Среди перечня возможных объектов коллекции можно назвать «Активы», «Лиасон Ассет», «Системный администратор», «Операции с иностранной информацией», «Агентства внешней разведки» и «Иностранные государственные структуры». Примечательно отсутствие каких-либо ссылок на экстремистов или транснациональных преступников. «Сотруднику по делу» также предлагается указать среду целевого объекта, такую ​​как тип компьютера, используемая операционная система, подключение к Интернету и установленные антивирусные утилиты (PSP), а также список типов файлов, подлежащих экстракции, таких как документы Office , Аудио, видео, изображения или пользовательские типы файлов. «Меню» также запрашивает информацию, если возможен повторный доступ к цели и как долго может сохраняться ненаблюдаемый доступ к компьютеру. Эта информация используется программным обеспечением ЦРУ «JQJIMPROVISE» (см. Ниже) для настройки набора вредоносных программ CIA, соответствующих конкретным потребностям операции.

    Импровизировать (JQJIMPROVISE)

    «Импровизация» - это набор инструментов для настройки, постобработки, настройки полезной нагрузки и выбора вектора выполнения для инструментов съемки / извлечения, поддерживающих все основные операционные системы, такие как Windows (Bartender), MacOS (JukeBox) и Linux (DanceFloor). Его утилиты конфигурирования, такие как Margarita, позволяют NOC (Network Operation Center) настраивать инструменты, основанные на требованиях из вопросов «Fine Dining».

    HIVE

    HIVE - это многоплатформенный набор вредоносных программ CIA и связанное с ним программное обеспечение для управления. Проект предусматривает настраиваемые импланты для Windows, Solaris, MikroTik (используемые в интернет-маршрутизаторах) и Linux-платформ и инфраструктуру Listening Post (LP) / Command and Control (C2) для связи с этими имплантатами.

    Имплантаты настроены для связи через HTTPS с веб-сервером домена обложек; Каждая операция, использующая эти имплантаты, имеет отдельный домен покрытия, и инфраструктура может обрабатывать любое количество областей обложек.

    Каждый домен обложек разделяется на IP-адрес, который находится у коммерческого поставщика VPS (Virtual Private Server). Публичный сервер пересылает весь входящий трафик через VPN на сервер Blot, который обрабатывает фактические запросы на подключение от клиентов. Это настройка для дополнительной аутентификации клиента SSL: если клиент отправляет действительный сертификат клиента (только имплантаты могут это сделать), соединение пересылается на сервер инструментов «Honeycomb», который взаимодействует с имплантатом; Если действительный сертификат отсутствует (что имеет место, если кто-то пытается открыть веб-сайт домена обложек случайно), трафик перенаправляется на сервер обложек, который обеспечивает неприглядный веб-сайт.

    Honeycomb toolserver получает exfiltrated информацию от имплантата; Оператор может также поручить имплантату выполнять задания на целевом компьютере, поэтому сервер инструментов действует как сервер C2 (команда и управление) для имплантата.

    Аналогичная функциональность (хотя и ограниченная Windows) предоставляется проектом RickBobby. См. Руководство для пользователей и разработчиков для HIVE.

    Часто задаваемые вопросы

    Почему сейчас?

    WikiLeaks опубликовал, как только его проверка и анализ были готовы.

    В феврале администрация Трампа издала распоряжение, в котором содержится призыв к проведению обзора «Кибервойны», который должен быть подготовлен в течение 30 дней.

    Хотя обзор повышает своевременность и актуальность публикации, он не играет роли в определении даты публикации.

    Редактирование

    Имена, адреса электронной почты и внешние IP-адреса были отредактированы на опубликованных страницах (всего 70875 редиректов) до завершения дальнейшего анализа.

    1. Чрезмерное редактирование: некоторые элементы, возможно, были отредактированы, но не являются сотрудниками, подрядчиками, целевыми группами или иным образом связаны с агентством, но являются, например, авторами документации для других публичных проектов, которые используются агентством.
    2. Identity против person: отредактированные имена заменяются идентификаторами пользователей (номерами), чтобы позволить читателям назначать несколько страниц одному автору. При использовании процесса редактирования один человек может быть представлен более чем одним назначенным идентификатором, но ни один идентификатор не относится к более чем одному реальному человеку.
    3. Архивные вложения (zip, tar.gz, ...) заменяются PDF-файлом, в котором перечислены все имена файлов в архиве. Поскольку содержание архива оценивается, оно может быть доступно; До этого архив отредактирован.
    4. Вложения с другим двоичным содержимым заменяются шестнадцатеричным дампом содержимого, чтобы предотвратить случайный вызов двоичных файлов, которые могли быть заражены зараженными вредоносными программами CIA. Поскольку содержание оценивается, оно может быть доступно; До тех пор пока содержимое не будет отредактировано.
    5. Десятки тысяч маршрутизируемых ссылок на IP-адреса (в том числе более 22 тыс. В США), которые соответствуют возможным целям, скрытым прослушивающим почтовым серверам ЦИА, промежуточным и тестовым системам, редактируются для дальнейшего эксклюзивного расследования.
    6. Двоичные файлы непубличного происхождения доступны только в качестве дампов, чтобы предотвратить случайный запуск двоичных файлов, зараженных вредоносными программами CIA.

    Организационная диаграмма

    Организационная схема соответствует материалу, опубликованному WikiLeaks до сих пор.

    Поскольку организационная структура ЦРУ ниже уровня Дирекций не является публичной, размещение EDG и ее филиалов в организационной структуре агентства восстанавливается из информации, содержащейся в документах, опубликованных до настоящего времени. Он предназначен для использования в качестве приблизительного описания внутренней организации; Имейте в виду, что восстановленная организационная диаграмма является неполной и часто происходят внутренние реорганизации.

    Страницы Wiki

    «Year Zero» содержит 7818 веб-страниц с 943 вложениями из внутренней групповой разработки. Программное обеспечение, используемое для этой цели, называется Confluence, проприетарным программным обеспечением от Atlassian. Веб-страницы в этой системе (например, в Википедии) имеют историю версий, которая может дать интересные сведения о том, как документ развивался с течением времени; 7818 документов включают в себя эти истории страниц для 1136 последних версий.

    Порядок названных страниц в каждом уровне определяется по дате (самый старший сначала). Содержимое страницы не присутствует, если оно изначально было динамически создано программным обеспечением Confluence (как указано на восстановленной странице).

    Какой период охвачен?

    В период с 2013 по 2016 год. Порядок сортировки страниц на каждом уровне определяется по дате (наиболее ранний из них). WikiLeaks получил дату создания / последней модификации ЦРУ для каждой страницы, но они пока не появляются по техническим причинам. Обычно дату можно определить или приблизить к содержимому и порядку страницы. Если важно знать точное время / дату, свяжитесь с WikiLeaks.

    Что такое «Vault 7»

    «Vault 7» - это существенный сборник материалов о деятельности ЦРУ, полученных WikiLeaks.

    Когда была получена каждая часть «Vault 7»?

    Часть первая была получена недавно и распространяется до 2016 года. Подробности на других частях будут доступны на момент публикации.

    Каждая часть «Vault 7» из другого источника?

    Подробности на других частях будут доступны на момент публикации.

    Каков общий размер «Vault 7»?

    Серия является крупнейшим разведывательным изданием в истории.

    Как WikiLeaks получил каждую часть «Vault 7»?

    Источники доверяют WikiLeaks не раскрывать информацию, которая могла бы помочь идентифицировать их.

    Разве WikiLeaks не обеспокоена тем, что ЦРУ будет действовать против своего персонала, чтобы остановить серию?

    Нет. Это было бы контрпродуктивно.

    WikiLeaks уже «заминировал» все лучшие истории?

    Нет. WikiLeaks специально не составил сотни впечатляющих историй, чтобы побудить других находить их и таким образом создавать опыт в этой области для последующих частей в серии. Они здесь. Посмотрите. Те, кто демонстрирует превосходство в журналистике, могут быть рассмотрены для скорейшего доступа к будущим частям.

    Разве другие журналисты не найдут передо мной лучшие истории?

    Вряд ли. Рассказов очень много, чем журналистов или ученых, которые могут написать их.

    Переведено при помощи переводчика Google. Источник: WikiLeaks

    Создание сайтов качественно и в срок
    Статьи
    Акции
    Другие услуги
    Контакты
    Домен в подарок
    Хостинг в подарок
    CMS в подарок
    Скидка до 10%
    Услуги дизайнера
    Услуги копирайтера
    Услуги хостинга
    Поддержка сайта
    Москва и МО
    WEB-2010.RU
    +7 (495) 664-95-10
    info@web-2010.ru
    Звоните: +7 (495) 664 95 10
    © 2017 г. Разработка и создание сайтов