Пока весь мир волновался о вымогателе WannaCry на основе методик ЦРУ, в WikiLeaks продолжили публиковать инструменты этого разведывательного управления. Сайт обнародовал очередную часть компонентов проекта Vault 7. Они позволяют злоумышленникам буквально баловаться и раздражать пользователей, саботируя их работу.
Два представленных хакерских инструмента называются AfterMidnight и Assassin. Это достаточно базовые инструменты, которые, как и вирус WannaCry, используют разработанные и украденные у ЦРУ уязвимости.
Фреймворк AfterMidnight выглядит на компьютере жертвы как очередная библиотека DLL. Но в фоне она выполняет свое дело – подсоединяется к командному серверу C&C по протоколу HTTPS. Оттуда программа загружает дополнительные модули для выполнения. Авторы назвали их Гремлинами – в честь небольших киношных монстриков, которые, впрочем, оказались очень опасными.
Избавиться AfterMidnight простой перезагрузкой не получится – программа постоянно «висит» в памяти. Но сделать ее неработоспособной достаточно просто – необходимо отключить интернет-соединение. Без него это вредоносное приложение не может соединиться со своим сервером и скачать дополнительные модули.
Модули AfterMidnight делятся на три категории: предоставляют возможности обхода фильтров данных, изменяют функции локальных программ, предоставляющих дополнительные сервисы для других модулей.
Самыми интересными из них сегодня являются те модули, которые изменяют функции локальных программ. Как описывает документация «Гремлинов», подобные блоки могут изменять запуск или работу уже запущенных процессов. Среди возможностей – задержка старта, «убийство» процессов или их постоянные блокировки. Последнее для пользователя будет выглядеть как зависшая программа, которую он «убьет» собственноручно. Все эти действия можно настраивать, например, устанавливать задержку срабатывания саботажа, а также указывать процент глюков от общего количества процессов в системе.
Инструкция к AfterMidnight содержит два примера использования этого вредоносного программного обеспечения. В одной из них показано, как этим инструментом заблокировать пользователю доступ к браузеру. Так человек будет вынужден работать, а не отвлекаться на интернет, благодаря чему шпионские модули смогут собрать больше данных. Выполняется эта задача просто: AfterMidnight настраивают так, чтобы он каждые 30 секунд «убивал» все запущенные процессы Internet Explorer или Firefox.
Второй пример показывает, как с помощью AfterMidnight раздражать пользователя PowerPoint. Вредоносное программное обеспечение каждые 10 минут блокирует до 50% ресурсов этого редактора таблиц, из-за чего он начинает тормозить. Также можно задержать запуск показа презентации в PowerPoint.
Инструмент Assassin в чем-то похож на AfterMidnight. Он также имеет модульную конструкцию и командный сервер. Но он работает в виде сервиса Windows и используется для выполнения точечных задач – сбора данных, отправки их заказчикам и тому подобное.
Опубликованные WikiLeaks инструменты под общим названием Vault 7 содержат документацию и инструкции к хакерским инструментам ЦРУ. В WikiLeaks говорят, что эти компоненты они получили от хакеров и информаторов.
