Не успели утихнуть разговоры про шифровальщик WannaCry, который использовал известную АНБ уязвимость, как появилась информация о новой угрозе, разработанной ЦРУ.
На этой неделе сайт WikiLeaks обнародовал подробную информацию об эксплойте, который применялся ЦРУ для взлома всех версий Windows и получения полного контроля над целевой системой.
Проект ЦРУ под кодовым названием Athena позволяет взламывать абсолютно любые версии Windows, начиная от Windows XP и заканчивая Windows 10. В результате атакующее лицо может развертывать на целевые системы другие вредоносные программы, а также получать доступ к локальным файлам.
В отчете WikiLeaks сообщается “После установки вредоносная программа выполняет функцию маяка, т.е. загружает в память и выгружает из памяти вредоносные модули, а также извлекает файлы из определенных каталогов файловой системы. Угроза позволяет оператору настраивать параметры во время исполнения, что модифицировать выполняемые операции”.
Это означает, что ЦРУ может получить полный контроль над целевой системой Windows, загружать любые данные со взломанного компьютера и загружать их на своего собственного сервера.
Проект Athena был создан в августе 2015 года, т.е. ЦРУ разработала эксплойт спустя месяц после публичного релиза Windows 10.
Обход антивирусов
Вредоносная программа разрабатывалась не собственными силами ЦРУ, а стала результатом сотрудничества с американской компанией Siege Technologies, которая позиционируется как организация, специализирующаяся на “наступательных технологиях кибервойны”.
Первоначально Athena создавалась с расчетом обхода антивирусных систем. Интересно, что документация ЦРУ содержит упоминания о популярных антивирусных решениях, которые согласно информации агентства, не способны заблокировать эксплойт.
В руководстве Athena отмечается: “При установке происходит взлом службы DNS Cache. В Windows 7 и 8 эта служба работает по умолчанию работает в процессе svchost.exe (netsvcs), а в Windows 10 служба известная как NetworkService. Контекст пользователя NetworkService позволяет снизить меры безопасности системы. Реализация srvhost позволяет запускать службу в контексте netsvcs при следующей перезагрузке. Чтобы обойти данный недостаток и обеспечить немедленное выполнение после установки, существующая служба будет запускаться как NetworkService до следующей перезагрузки, и в это время будет использоваться пользователь System netsvcs”.
На данный момент неизвестно, успел ли Редмонд выпустить патчи против данного эксплойта. Официальных комментариев от Microsoft или ЦРУ пока не поступало.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России