П’ятниця, 29 Березня, 2024

Оприлюднили інструменти ЦРУ, які змушують ПК поводитися так, ніби він глючить

Поки весь світ хвилювався про вимагача WannaCry на основі методик ЦРУ, у WikiLeaks продовжили публікувати інструменти цього розвідувального управління. Сайт оприлюднив чергову частину компонентів проекту Vault 7. Вони дозволяють зловмисникам буквально бавитися та дратувати користувачів, саботуючи їхню роботу.

ЦРУ

Два показані хакерські інструменти називаються AfterMidnight та Assassin. Це досить базові інструменти, котрі, як і вірус WannaCry, використовують розроблені та вкрадені у ЦРУ вразливості.

Фреймворк AfterMidnight виглядає на комп’ютері жертви як чергова бібліотека DLL. Але у фоні вона виконує свою справу – під’єднується до командного сервера C&C за протоколом HTTPS. Звідти програма завантажує додаткові модулі для виконання. Автори назвали їх Гремлінами – на честь невеликих кіношних монстриків, які, втім, виявилися дуже небезпечними.

Позбутися AfterMidnight простим перезавантаженням не вийде – програма постійно «висить» у пам’яті. Але зробити її непрацездатною досить просто – необхідно вимкнути інтернет-з’єднання. Без нього цей шкідливий додаток не може з’єднатися зі своїм сервером та завантажити додаткові модулі.

Модулі AfterMidnight поділяються на три категорії: надають можливості обходу фільтрів даних, змінюють функції локальних програм, надають додаткові сервіси для інших модулів.

Найцікавішими з них сьогодні є ті модулі, що змінюють функції локальних програм. Як описує документація «Гремлінів», подібні блоки можуть змінювати запуск чи роботу вже запущених процесів. Серед можливостей – затримка старту, «вбивство» процесів або їхнє постійне блокування. Останнє для користувача виглядатиме як зависла програма, яку він «вб’є» власноруч. Усі ці дії можна налаштовувати, наприклад, встановлювати затримку спрацювання саботажу, а також вказувати відсоток глюків від загальної кількості процесів в ОС.

Інструкція до AfterMidnight містить два приклади використання цього шкідливого програмного забезпечення. В одному з них показано, як цим інструментом заблокувати користувачеві доступ до браузера. Так людина буде змушена працювати, а не відволікатися на інтернет, завдяки чому шпигунські модулі зможуть зібрати більше даних. Виконується це завдання просто: AfterMidnight налаштовують так, щоб він кожні 30 секунд «вбивав» усі запущені процеси Internet Explorer чи Firefox.

Другий приклад показує, як за допомогою AfterMidnight дратувати користувача PowerPoint. Шкідливе програмне забезпечення кожні 10 хвилин блокує до 50% ресурсів цього редактора таблиць, через що він починає гальмувати. Також можна затримати запуск показу презентації у PowerPoint.

Інструмент Assassin у чомусь схожий на AfterMidnight. Він також має модульну конструкцію та командний сервер. Але він працює у вигляді сервісу Windows та використовується для виконання точкових завдань – збору даних, відправлення їх замовникам тощо.

Опубліковані WikiLeaks інструменти під загальною назвою Vault 7 містять документацію та інструкції до хакерських інструментів ЦРУ. У WikiLeaks кажуть, що ці компоненти вони отримали від хакерів та інформаторів.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися