WikiLeaks опубликовал два новых хакерских инструмента ЦРУ

image

Теги: WikiLeaks, ЦРУ, бэкдор, вредоносное ПО

AfterMidnight и Assassin выполняют роль бэкдора на атакуемом компьютере.

Пока весь мир был занят атаками WannaCry, в прошлую пятницу в рамках проекта Vault 7 портал WikiLeaks опубликовал очередную порцию документов ЦРУ. В этот раз на всеобщее обозрение были выставлены инструкции по использованию двух хакерских инструментов AfterMidnight и Assassin, представляющих собой упрощенные фреймворки.

Согласно опубликованной WikiLeaks документации, AfterMidnight устанавливается на атакуемый компьютер в виде DLL-файла, выполняющего роль бэкдора. DLL-файл остается на системе даже после ее перезагрузки и подключается к C&C-серверу по HTTPS для загрузки исполняемых модулей, так называемых «гремлинов» (Gremlins или Gremlinware).

Для работы вредоносу необходимо постоянное интернет-соединение. В противном случае AfterMidnight не может подключиться к C&C-серверу и выполнить модули. Сами модули распределяются по трем категориям – для похищения данных, вмешательства в работу установленного на атакуемой системе ПО, а также для обслуживания других модулей.

Особого внимания заслуживает модуль, подрывающий работу легитимного ПО на атакуемом компьютере. Process Gremlin способен несколькими способами вмешиваться в уже запущенные процессы или запускать новые. «Гремлин» может на время откладывать выполнение процесса, прерывать уже запущенный процесс, или блокировать процесс, вынуждая пользователя отключить его вручную. Атакующий может установить активность «гремлина» на определенное время и нацелить его только на некоторую часть процессов.

Assassin во многом напоминает AfterMidnight. Фреймворк состоит из конструктора, закладки, C&C-сервера и поста перехвата, выполняющего роль посредника между закладкой и C&C-сервером. Assassin работает на атакуемой системе в качестве сервиса и предназначен для выполнения ряда точных задач и сбора информации.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.