Проект Pandemic представляет собой программную закладку для систем Windows, которые обмениваются файлами с удаленными пользователями в локальной сети. Pandemic используется для заражения компьютеров за счет подмены кода приложения троянским модулем что называется “на лету” для целей кибершпионажа.
В описании на сайте WikiLeaks сообщается:
“Сегодня, 1 июня 2017 года, WikiLeaks опубликовал документы проекта “Pandemic” ЦРУ, которые подробно описывают сущность хакерской закладки для машин Microsoft Windows, обменивающихся файлами с удаленными пользователями в локальной сети. “Pandemic” нацелен на удаленных пользователей и заменяет код приложения троянской версией “на лету”, если программа извлекается с зараженной машины”.
RELEASE: CIA &&Pandemic&& Windows infection malware documentation #Vault7 https://t.co/YfxAKT1pog pic.twitter.com/HhmmvUBupi
— WikiLeaks (@wikileaks) 1 июня 2017 г.
Программная закладка преобразует файловые серверы в машины, которые заражают подключающиеся к ним компьютеры.
Зараженный модулями Pandemic компьютер с общими дисками в локальной сети является эквивалентом “Нулевого пациента” в медицине, который распространяет эпидемию. Он приводит к взлому удаленных компьютеров, если пользователь запустит приложения, хранящиеся на файловом сервере.
Программное средство Pandemic не изменяет файл на зараженной системе, когда жертвы запрашивают файл, они просто получают инфицированную трояном версию надежного приложения.
Программная закладка Pandemic способна заменить до 20 программ, максимальным размером до 800 мегабайт.
Приведем небольшой фрагмент доклада:
“Инструмент Pandemic запускается как код уровня ядра для установки драйвера фильтра файловой системы. Фильтр “заменяет” целевой файл заданной полезной нагрузкой, если удаленный пользователь попытается получить доступ к файлу по протоколу SMB (только для чтения). Pandemic не станет “заменять” целевой файл, если файл открыт на устройстве с работающими модулями Pandemic. Основная цель Pandemic - установиться на удаленные машины, которые используют SMB для загрузки или исполнения портативных исполняемых файлов. Pandemic не выполняет никаких физических изменений на диске. Пользователи, которые стали целями Pandemic получат “модифицированный” файл при попытке скачивания целевого объекта”.
Известно о пяти файлах проекта Pandemic, установка программной закладки происходит практически моментально - обычно операция занимает от 10 до 15 секунд.
В документации не содержится информация о процессе заражения. Также не указано, при каких условиях зараженные компьютеры становятся серверами Pandemic.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России