Разработчики: | Центральное разведывательное управление (ЦРУ) |
В конце августа 2017 года сайт WikiLeaks опубликовал новую порцию документов, описывающих вредоносное программное обеспечение, разработанное в ЦРУ. На сей раз речь идет о проекте Angelfire, специализированной программной среде, предназначенной для заражения компьютеров на базе Windows.[1]
Согласно опубликованному руководству пользователя, Angelfire включает пять различных компонентов, у каждого из которых свое собственное назначение:
1. Solartime - вредонос - модификатор загрузочного сектора Windows, открывающий систему для второго компонента - Wolfcreek.
2. Wolfcreek - самозагружающийся драйвер, который затем может загружать прочие драйверы и приложения.
3. Keystone - компонент, отвечающий за запуск других «имплантов» (так в технических документах именуется вредоносное ПО).
4. BadMFS - скрытая файловая система, создаваемая на конечной границе активного раздела диска. Angelfire использует BadMFS для хранения других компонентов. Все файлы зашифрованы и замаскированы обфускацией.TAdviser выпустил Гид по российским операционным системам
Согласно опубликованной документации, Angelfire работает на 32- и 64-разрядных версиях Windows XP, Windows 7 и 64-разрядных версиях Windows Server 2008 R2.
Интересно, что в отличие от многих других хакерских инструментов ЦРУ, Angelfire выглядит достаточно "сыро". В документах к нему перечислено множество проблем, которые так и не были решены. Например, известно, что антивирусные решения могут выявить присутствие BadMFS по файлу с названием zf. Кроме того, если какой-то из компонентов Angelfire "падает", пользователю выводится окно с информацией об этом.
Известно так же, что процесс Keystone всегда выводится как C:\Windows\system32\svchost.exe, в том числе и тогда, когда Windows установлена на каком-либо другом логическом разделе диска - например, D.
Подобные инструменты обыкновенно разрабатываются под конкретную цель, и лишь потом используются серийно, — полагает Георгий Лагода, генеральный директор компании SEC Consult Services. — Возможно, Angelfire не довели до ума потому, что нужда в нем быстро отпала. |
Это уже 19-я публикация Wikileaks, посвященная инструментам ЦРУ в рамках кампании Vault 7. И, по всей видимости, далеко не последняя.