ЦРУ США училось технике хакерских атак у киберпреступников

Портал WikiLeaks опубликовал очередной пакет секретных документов ЦРУ, все того же проекта Vault 7. Информация касается данных о подрядчике ЦРУ, который специализируется на анализе сложных вредоносных программ используемых киберпреступниками.

В документе сказано, что с ноября 2014 года по сентябрь 2015 года компания Raytheon Blackbird Technologies предоставила ЦРУ как минимум пять отчетов о работе, которую они проделали в рамках проекта UMBRAGE Component Library (UCL). Предоставленные отчеты содержат разработанные киберпреступниками и раскрытые исследователями методы и векторы атак. Скорее всего специалисты из ЦРУ использовали данную информацию для создания собственного вредоносного ПО.

Первый отчет Raytheon Blackbird Technologies описывает инструмент для удаленного доступа HTTPBrowser, который разработан в 2015 году. Данный инструмент, который использовался китайской киберпреступной группировкой предназначен для перехвата нажатий клавиш на клавиатуре.

Второй отчет содержит информацию об инструменте для удаленного доступа NfLog, он также известен как IsSpace, из арсенала киберпреступной группировки из китая Emissary Panda. Вредонос оснащен эксплоитом для уязвимости CVE-2015-5122 в Adobe Flash и способен обходить контроль учетных записей пользователей.

В третьем отчете речь идет о сложном вредоносном ПО Regin - используется с 2013 года для похищения данных. Он представляет собой модульный инструмент предназначенный для шпионажа (по характеристикам превосходит кибероружие Stuxnet и Duqu). Разработкой Regin предположительно занималось АНБ США.

Четвертый отчет содержит рассказ экспертов о HammerToss – вредоносном ПО, которое разработано по заказу российских спецслужб. Создан в 2014 году и обнаружен был в начале 2015года. В C&C-инфраструктуре HammerToss используются учетные записи Twitter и GitHub, а также взломанные сайты и облачные хранилища.

В заключительном пятом отчете речь идет о инфостилере Gamker. Данный троян использует простое шифрование и загружает на систему свою копию с использованием случайного имени файла и внедряется в различные процессы.