Целью данного инструмента является нарушение процессов видео- и аудио-наблюдения за критическими целями, чтобы агенты ЦРУ могли выполнять свои служебные задачи.
Dumbo - это не вредоносная программа, а утилита для систем Windows, которая могла переносится агентами на съемном USB-накопителе. Агент должен подключить носитель к одному из компьютеров цели и запустить инструмент. Утилита использует следующий графический интерфейс:
Dumbo предотвращал аудио и видеонаблюдение
Dumbo предназначен для автоматического обнаружения установленных устройств, таких как веб-камеры и микрофоны, локально подключенные или беспроводные (Bluetooth, WiFi). Инструмент позволяет операторам отключать эти устройства.
Кроме того, Dumbo также обнаруживает любые процессы, связанные с этими устройствами, и процессы записи или мониторинга программного обеспечения. Агенты могут использовать инструмент для удаления или нарушения этих процессов и косвенно их записей.
Последнее руководство называется Dumbo v3.0 и датировано 25 июня 2015 года. Согласно руководству, Dumbo нуждается в привилегиях SYSTEM для запуска. Это означает, что агенты ЦРУ должны использовать выделенные эксплойты вместе с Dumbo в случае, если у них нет доступа к учетной записи на уровне SYSTEM.
Для скрытия Dumbo использует недействительные ошибки BSOD
Dumbo также поставляется с двумя функциями, которые вызывают отображение “синего экрана смерти” (BSOD) на 32-битных и 64-битных платформах, поэтому операторы ЦРУ могут маскировать работу инструмента, скрывая его как системную ошибку.
Dumbo поддерживает 32-разрядную Windows XP, Windows Vista и более новые версии операционной системы Windows. 64-разрядные версии Windows XP или Windows до XP не поддерживаются.
В XP антивирус Касперского обнаруживает и блокирует установку драйвера устройства, необходимого для правильной работы Dumbo. Другое (неуказанное) антивирусное программное обеспечение блокирует файлы Dumbo, которые вызывают ошибки BSOD.
В руководстве Dumbo рекомендуется, чтобы агенты отключили антивирусное программное обеспечение, даже если это действие может быть записано в системных журналах и может вызвать сигнал тревоги для IT-персонала.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов