С марта 2017 года Wikileaks публикует дамп под кодовым названием Vault 7, содержащий подробности работы Центрального разведывательного управления (ЦРУ) США. Бумаги, описывающие самые разные хакерские инструменты и техники правительства, были переданы в распоряжение ресурса неизвестным информатором.

На этой неделе ресурс рассказал о проекте Imperial, в состав которого входят инструменты Achilles, Aeris и SeaPea. Опубликованная документация датирована 2011 годом и рассказывает, что каждый из трех инструментов предназначается для атак на определенные ОС.

Achilles позволял сотрудникам ЦРУ внедрять малварь в состав легитимных приложений для macOS (тогда еще OS X), а именно заражать ею файлы инсталляторов .dmg. Одностраничная инструкция объясняет, что после заражения файл .dmg установит как оригинальное приложения, так и вредоносный пейлоад, который затем будет удален из состава .dmg. Таким образом, инструмент Achilles предназначался для единоразовой доставки малвари в систему, при этом не забывая о том, что малварь должна оставаться незамеченной.

Aeris, в свою очередь, является имплантом (малварью) для POSIX-систем. Согласно документации, он написан на C и предназначается для извлечения собранных другими инструментами данных с зараженного хоста. Как правило, передача информации осуществляется через защищенные TLS-каналы. Инструкция гласит, что Aeris будет работать со следующими ОС:

Debian Linux 7 (i386)

Debian Linux 7 (amd64)

Debian Linux 7 (ARM)

Red Hat Enterprise Linux 6 (i386)

Red Hat Enterprise Linux 6 (amd64)

Solaris 11 (i386)

Solaris 11 (SPARC)

FreeBSD 8 (i386)

FreeBSD 8 (amd64)

CentOS 5.3 (i386)

CentOS 5.7 (i386)

SeaPea – это руткит для macOS. Инструкция к этому инструменту (версии 2.0) ранее уже была опубликована на Wikileaks, в составе мартовского дампа «Темная материя» (Dark Matter), который рассказывал о наборе решений для компрометации Mac и iPhones. Так, в бумагах был упомянут DarkSeaSkies – имплантат, «вживляющийся» в EFI на Apple MacBook Air и содержащий инструменты DarkMatter, SeaPea и NightSkies, для EFI, пространства ядра и пространства пользователя, соответственно.

Новые бумаги повествуют о SeaPea 4.0, однако суть работы инструмента не изменилась. SeaPea по-прежнему представляет собой руткит, который гарантирует скрытное и устойчивое присутствие в системе и запуск других вредоносов. Документация гласит, что инструмент тестировался с Mac OS X 10.6 (Snow Leopard) и Mac OS X 10.7 (Lion), то есть даже инструкции для версии 4.0 сильно устарели.

Источник : http://helpform.ru/856777