WikiLeaks започва да разкрива хакерския потенциал на ЦРУ

WikiLeaks започна да публикува серия от документи, разкриващи целия хакерски потенциал на Централното разузнавателно управление на САЩ. Основаната от Джулиан Асанж организация е дала на изтеклите документи кодовото название „Трезор 7” и твърди, че това е най-мащабното публикуване на секретни документи на шпионската агенция досега.

Първата партида документи, качени на сайта на организацията под името „Нулева година”, описват високотехнологичните софтуерни инструменти и техники използвани от агенцията, за да преодоляват защитите на всякакви устройства като смартфони, компютри и дори свързани с интернет телевизори. Преди месец Wikileaks публикува друга серия документи, свързани с ЦРУ, които показват как агенцията е шпионирала кандидатите за президент на Франция по време на изборите през 2012 г.

В своето прессъобщение WikiLeaks твърди, че наскоро ЦРУ е загубило контрол над по-голямата част от своя хакерски арсенал, включително зловреден софтуер, вируси, троянски коне, т.нар. „zero day” експлойти, системи за отдалечен контрол и свързаната с тях документация. „Тази необикновена колекция, която съдържа стотици милиони реда компютърен код, дава на който я притежава целия хакерски потенциал на ЦРУ”, предупреждават от Wikileaks. Според организацията архивът с тази информация е бил разпространяван неправомерно между бивши правителствени хакери и сътрудници на агенцията, като един от тях е предоставил на Wikileaks част от документите.

RELEASE: Vault 7 Part 1 „Year Zero“: Inside the CIA’s global hacking force https://t.co/h5wzfrReyy pic.twitter.com/N2lxyHH9jp

— WikiLeaks (@wikileaks) March 7, 2017

Публикуваните документи представляват подробен, високотехнологичен каталог от софтуерни инструменти. Те включват и инструкции за компрометиране на широк спектър от популярни компютърни инструменти и използването им за шпионаж: от услугата за онлайн комуникация Skype, през мрежите за безжичен интернет и документи в PDF формат до самите антивирусни програми, използвани от потребителите за защита от зловреден софтуер.

Много от кодовите наименования на разкритите от Wikielaks програми на ЦРУ изглежда отразяват предпочитанията на демографската група, която съставлява голяма част от киберекспертите на агенцията – млади мъже. Наименованията включват редица препратки към „Хари Потър”, игрите „Покемон” и медикаментът за лечение на хиперактивност Адерал. Много проекти са кръстени и на различни марки уиски. Други програми носят закачливи наименования като CrunchyLimeSkies, ElderPiggy, AngerQuake и McNugget.

Една от програмите, наречена Wrecking Crew, обяснява как да бъде блокиран определен компютър, а други инструктират как да се крадат пароли като се използва функцията за автоматично въвеждане на браузъра Internet Explorer. Изтеклите документи също така разкриват, че ЦРУ съзнателно не уведомява производителите на софтуер за откритите вратички, за да може да ги използва, което в крайна сметка компрометира сигурността на потребителите и по отношение на чуждестранни разузнавания и хакери.

Една от по-екзотичните програми с кодово название Weeping Angel използва „умните” телевизори от марката Samsung като подслушвателни устройства. Според прессъобщенето на WikiLeaks дори когато са изключени, хакнатите телевизори могат да записват разговорите в стаята и ги препращат през интернет на сървърите на ЦРУ. Тази програма е била разработена съвместно с британското разузнаване.

Първата партида документи, публикувани от Wikileaks, съдържа общо 8761 документа, много от които са частично редактирани от организацията, за да не бъде разкрит конкретния код на кибероръжията. Според организацията това представлява само 1% от документите, които предстои да бъдат публикувани.

Едно от разкритията, което е особено притеснително за технологичните компании е това, че ЦРУ и други разузнавателни агенции са успели да компрометират операционните системи Android и iOS, които са използвани от повечето смартфони и други мобилни устройства в света. По този начин шпионските агенции имат възможност да поемат контрола над самите устройства и да заобиколят криптирането на популярни комуникационни услуги като Signal, WhatsApp и Telegram.

Според Wikileaks правителствените хакери могат да проникнат в смартфоните и да получат достъп до звуковия и текстови трафик преди да е приложено криптирането или след декриптиране при получателя, макар самите приложения за комуникация да не са компрометирани. Новата информация идва като потвърждение на разкритията на журналистите от The Intercept от 2015 г., че ЦРУ води дългогодишна кампания да пробие сигурността на мобилните устройства, произвеждани от Apple.

Документите също така разкриват, че чрез зловредния софтуер ЦРУ може да хакне, шпионира и контролира от разстояние компютри, използващи операционните системи Windows, macOS, и Linux. Това означава, че ЦРУ може да заобиколи PGP криптирането на имейли и частните виртуални мрежи VPN, както и да наблюдава какво прави потребителят дори в защитени браузъри като Tor. Макар тези системи сами по себе си да не са компрометирани, ЦРУ може да поеме контрола над всякакво свързано с интернет устройство и да шпионира всичко, което се прави на него.

CIA organizational chart partly re-constructed by @WikiLeaks #Vault7 https://t.co/4R2Dh4ZzGN pic.twitter.com/HvTnUAaIff

— WikiLeaks (@wikileaks) March 7, 2017

За разлика от документите на Националната агенция за сигурност, които сътрудникът на агенцията Едуард Сноудън даде на медиите през 2013 г., новите публикации на Wikileaks не включват конкретни примери как тези хакерски инструменти са били използвани срещу чуждестранни цели. Същевременно обаче те съдържат много повече технически детайли за конкретните методи на кибер шпиониране, което може да ги направи по-полезни за съперниците на ЦРУ.

Документите също така разкриват как консулството на САЩ в германския град Франкфурт се използва от ЦРУ като тайна база за хакерски операции в Европа, Близкия Изток и Африка. Опериращите в Германия хакери получават прикритие като служители на Държавния департамент, осигуряващи технически консултации за консулството. След като вече са във Франкфурт, хакерите на ЦРУ могат да пътуват без гранична проверка в 25 европейски държави, членки на Шенген.

Свободното движение на агенти е важно, тъй като част от методите за електронни атаки на ЦРУ изискват физическо взаимодействие с компютърните системи. Тези методи дават възможност за пробиване на мрежи с високо ниво на сигурност, които не са свързани с интернет, като например полицейски бази данни. В тази случаи агент или сътрудник на ЦРУ трябва физически да проникне в сградата, където се намира целта и да вкара в някои от компютрите от мрежата преносима флаш памет, съдържаща зловредния софтуер.

Инсталирането на шпионския софтуер и източването на информация бива прикривано от фалшиви програми. Системата на ЦРУ Fine Dining осигурява 24 различни фалшиви приложения, които могат да бъдат използвани в такива случаи. За страничния наблюдател изглежда, че на екрана на атакувания компютър работят програми за гледане на видео (като например VLC), презентации (Prezi), компютърни игри (Breakout2, 2048) или дори фалшиво сканиране за вируси с програми като Kaspersky, McAfee и Sophos.

#BREAKING: Source to @shaneharris: „Wikileaks info authentic; Leak potentially more significant than Snowden leaks“ https://t.co/hEnbPdK0Ks

— Amichai Stein (@AmichaiStein1) March 7, 2017

Специалистът по национална сигурност Робърт Чесни от Тексаския университет коментира пред New York Times, че документите за ЦРУ могат да се свържат с хакерските инструменти на Националната агенция за сигурност (N.S.A.), разкрити през миналата година от група, наричаща се Shadow Brokers. „Ако всичко това е вярно, то означава, че N.S.A. не е единствената институция с голям проблем с оперативната сигурност на тези инструменти”, отбелязва той.

Все още няма публично потвърждение за автентичността на документите, които са произведени от Центъра за кибер разузнаване на ЦРУ и в голямата си част датират от периода 2013-2016 г. Един държавен служител е потвърдил пред NYT, че документите са истински. Бивш служител в разузнаването е заявил пред медията, че кодовите наименования на програмите, схемите на организацията и описанията на хакерската база на ЦРУ изглеждат достоверни.  Няколко експерти са потвърдили пред Wall Street Journal, че на пръв поглед документите изглеждат автентични.

В своя Twitter акаунт Едуард Сноудън също коментира, че само вътрешен източник може да знае имената на програмите и звената, разкрити от документите, поради което публикацията на Wikileaks изглежда достоверна. Бившият сътрудник на N.S.A., който е принуден да живее в Русия след като направи разкритията си през 2013 г. също така коментира, че документите сочат към един особено голям проблем за сигурността – това, че самите операционни системи на мобилните устройства са компрометирани.

What makes this look real?
Program & office names, such as the JQJ (IOC) crypt series, are real. Only a cleared insider could know them.

— Edward Snowden (@Snowden) March 7, 2017

Говорителите на ЦРУ и Белия дом са отказали да коментират автентичността на документите пред медиите. Изтеклата информация до голяма степен потвърждава съществуващите в технологичните среди съмнения и дава подробности за способността на разузнавателните агенции да използват за шпионската си дейност всякаква потребителска електроника.

„Хората, които знаят много за киберсигурността приемат, че ЦРУ най-малкото инвестира в такива възможности, и че дори те да не са, много други държави и частни актьори го правят”, коментира Бею Уудс, заместник директор на Cyber Statecraft Initiative в Атлантическия съвет във Вашингтон. Според него разкритият могат да създадат опасения за „надеждността на технологиите в сфери, където киберсигурността може да има ефект върху човешкия живот и обществената безопасност.

В публикуваните досега документи няма преки доказателства, че ЦРУ използва хакерския си арсенал срещу граждани на САЩ. Директорът на Американския съюз за граждански свободи Бен Уайзнър обаче коментира пред NYT, че документите подсказват, че правителството умишлено позволява уязвимости на телефони и други устройства да не бъдат разгласявани и поправяни, така че шпионирането им да е по-лесно. „От тези уязвимости ще се възползват не само нашите служби за сигурност, но и хакери и чужди правителства от цял свят. Незабавното поправяне на дупки в сигурността, а не складирането им, е най-добрият начин дигиталният живот на всички да стане по-безопасен”, изтъква той.

WikiLeaks не идентифицира източника на документите, но заявява, че неговото желание е да постави пред вниманието на публиката важни въпроси, включително това дали хакерските възможности на ЦРУ надвишават правомощията на агенцията, както и проблемът с общественият контрол над институцията. „Източникът иска да инициира публичен дебат относно сигурността, създаването, използването, разпространението и демократичния контрол над кибероръжията”, заявяват от Wikileaks.

Редица коментатори от средите на разузнаването и службите за сигурност в САЩ се опитват да свържат новото източване на документи с наратива за руската намеса, около който се концентрира политическия дебат в страна след президентските избори. Експертът по киберсигурност от Центъра за стратегии и международни изследвания във Вашингтон Джеймс Люис заявява пред NYT, че според него друга държава, най-вероятно Русия, е откраднала документите и ги е предоставила на Wikileaks. „Мисля, че е много по-вероятно чуждестранна сила да е източникът на тези документи, отколкото служител на ЦРУ с угризения на съвестта”, заявява той.

Като аргумент за тази теза се посочват обвиненията на щатските разузнавателни агенции, че Русия е хакнала компрометиращи документи на Демократическата партия и ги е предала на Wikileaks, за да помогне на кандидатурата на Доналд Тръмп. Макар и категорично заявени, тези обвинения така и не бяха подкрепени с убедителни доказателства. Wikileaks, които за разлика от щатските разузнавателни служби не са били хващани в лъжа досега, твърдят, че документите на Демократическата партия са им били предадени от вътрешно лице, а не от друга държава.

Част от новите разкрития на Wikileaks също хвърлят сянка на съмнение относно твърденията за намеса на чуждестранни хакери. Едно от звената на ЦРУ, разкрити от документите, носещо названието Umbrage, поддържа архив от зловреден софтуер, придобит от чужди източници или купен през интернет. Доказателствата сочат, че ЦРУ колекционира зловреден софтуер, използван от чужди държави. „Тази библиотека изглежда дава на ЦРУ възможността да използва хакерски инструменти и техники, за които се знае, че са характерни за операциите на други държави”, коментира пред WSJ бивш служител на западна разузнавателна служба, пожелал анонимност.

Apple, Samsung, Microsoft react to WikiLeaks #Vault7. Google stays quiet about the many vulnerabilities in Android https://t.co/RpUEQTypxh

— WikiLeaks (@wikileaks) March 8, 2017

Представители на щатската разузнавателна общност са коментирали пред изданието, че този архив може да служи за идентифициране на чужди хакери, опитващи се да проникнат в щатски компютърни системи. Те обаче отбелязват, че колекцията от чужди хакерски инструменти той може да се използва и да маскира провеждани от САЩ операции така, че да изглеждат като дело на друга държава като Китай, Русия или Иран. „Така ако ги хванат никой няма да смята, че атаката е дело на САЩ”, коментира Стюард Макклър, изпълнителен директор на фирмата за киберсигурност  Cylance.

Документите от „Трезор 7” представляват поредния случай на мащабно изтичане на правителствени и корпоративни тайни. По мащаб архивът „Трезор 7” изглежда ще е сравним с най-големите изтичания на класифицирана информация от последните години – включително четвърт милион дипломатически документа, които бившият разузнавателен анализатор Челси Манинг предостави на Wikileaks през 2010 г., както и стотиците хиляди документи, изтекли благодарение на Едуард Сноудън през 2013 г. През миналата година бял свят видяха и т.нар. „Панамски книжа”, които разкриха тайните на офшорни компании, използвани от богаташи и политици от цял свят за укриване на активи. За разлика от публикуваните от Wikileaks документи обаче „Панамските книжа” така и не станаха изцяло публично достояние.

WikiLeaks изрично подчертава, че съзнателно не е описала „стотици впечатляващи истории”, съдържащи се в документите, за да окуражи други да ги намерят и да изградят експертиза в тази област, която ще е полезна за анализа на следващите партиди документи. „Има значително повече истории, отколкото са журналиститите и учените, които са способни да ги опишат. Те са там – търсете ги”, заявяват от Wikileaks. Организацията също така заявява, че журналисти, които демонстрират отлични способности в работата си, могат да получат ранен достъп до следващите части от „Трезор 7”.