Портал WikiLeaks Джулиана Ассанжа 7 июля 2017 года опубликовал очередную порцию конфиденциальных документов ЦРУ из серии, получившей название Vault 7. На сей раз описаны проекты BothanSpy и Gyrfalcon, нацеленные на хищение регистрационных данных пользователей операционных систем для того, чтобы затем удаленно работать с ними.
Программы BothanSpy и Gyrfalcon созданы для перехвата и выведения регистрационных данных протоколов SSH, они работают на разных операционных системах и имеют разные векторы атаки, сообщает ресурс. SSH - сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой. Регистрационные данные SSH - это логин или адрес сервера, номер порта, имя пользователя и пароль.
Согласно обнародованным данным, BothanSpy внедряется в клиентскую программу на платформе Windows и позволяет похищать регистрационные данные пользователя, которые потом направляются на сервер ЦРУ. Gyrfalcon работает аналогично, но на платформе Linux.
WikiLeaks опубликовал первую часть пакета документов ЦРУ 7 марта, сообщалось, что эта публикация станет крупнейшей утечкой конфиденциальных бумаг разведывательного ведомства. Она включает более 8,7 тысячи документов и файлов, хранившихся в изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли, штат Виргиния.
На портале 23 марта появилась часть документов, получившая название Dark Matter, где описывались способы взлома и заражения устройств компании Apple. Среди опубликованной информации представлены данные по таким программам, как Sonic Screwdriver - программа, предназначенная для выполнения кода на периферийном устройстве, пока идет загрузка Mac. С ее помощью устройства Apple могут быть взломаны с карт памяти USB.
Среди данных также опубликованы сведения о программе для NightSkies, которая используется и обновляется ЦРУ с 2008 года. Программа предназначена для шпионажа за смартфонами iPhone и согласно описанию устанавливается на «чистые» устройства, сошедшие с конвейеров.
Для установки необходим физический доступ к устройствам - тем самым в WikiLeaks отмечают, что у ЦРУ США на протяжении почти 10 лет есть возможность внедряться в производственную цепочку Apple, заражая устройства прямо «из коробки». Корпорация в своем заявлении отметила, что все уязвимости и проблемы в системе безопасности, о которых сообщалось, исправлены.
Еще одна часть пакета документов ЦРУ рассказывала о секретной сети Marble Framework, которая позволяет скрывать следы участия ЦРУ в обнаруживаемых вирусах, троянах и хакерских атаках. Согласно приведенной информации использовавшаяся в 2016 году сотрудниками ЦРУ программа позволяла запутать текстовые фрагменты кода вредоносных программ ЦРУ, с тем чтобы следователи и создатели антивирусного ПО не могли обнаружить связь с американскими разведывательными службами.