Hive решает критическую проблему операторов вредоносного ПО из ЦРУ. Даже самый сложный вредоносный имплантат на целевом компьютере будет бесполезен, если отсутствует возможность его взаимодействия с операторами безопасным способом, без привлечения внимания. Благодаря Hive, даже если на целевом компьютере будет обнаружена закладка, приписать ее ЦРУ будет очень сложно. Hive предоставляет платформу скрытой коммуникации для целого ряда вредоносных приложений коллекции ЦРУ и используется для отправки на серверы ЦРУ перехваченной информации и получения новых инструкций от операторов вредоносного ПО.
Hive может обслуживать несколько операций с использованием нескольких имплантатов на целевых компьютерах. Каждая операция анонимно регистрирует по крайней мере один домен-прикрытие (например, “perfect-boring-looking-domain.com”) для собственного использования. Сервер, на котором работает веб-сайт домена, арендуется у коммерческих хостинг-провайдеров как VPS (виртуальный частный сервер), и его программное обеспечение настраивается в соответствии со спецификациями ЦРУ. Эти серверы являются общедоступной частью инфраструктуры ЦРУ и выступают в качестве реле для трафика HTTP(S) по VPN-соединению со “скрытым” сервером ЦРУ под названием “Blot”.
Домен-прикрытие будет доставлять безобидное содержимое, если кто-либо захочет обратиться к нему напрямую. Посетитель будет видеть обычный сайт и не будет подозревать что-то еще. Единственная особенность сервера, которая не видна обычному пользователю - использование дополнительной аутентификации клиента. Hive использует нестандартную систему дополнительной аутентификации, поэтому пользователю, который посещает сайт не нужно проходить аутентификацию, она является опциональной. Однако, имплантаты, взаимодействующие к Hive проходят аутентификацию и поэтому могут быть обнаружены севером Blot. Трафик от имплантатов отправляется на шлюз управления оператора имплантата под названием Honeycomb, а весь другой трафик переходит на сервер-прикрытие, который обеспечивает обычных посетителей безопасным контентом.
Цифровые сертификаты для аутентификации имплантатов генерируются самим ЦРУ и выдают себя на существующие записи. Три примера, включенные в исходный код, создают поддельный сертификат для антивирусной компании “Лаборатория Касперского”, имитируя подпись Thawte Premium Server CA. Таким образом, если целевая организация анализирует сетевой трафик, то передаваемые на серверы ЦРУ данные идентифицируются некорректно.
RELEASE: Vault 8 part 1: CIA master infrastructure source code + logs for malware control system &&Hive&& https://t.co/EvE8GdyAmM #vault8 #cia #hive pic.twitter.com/W95Xah5Thr
— WikiLeaks (@wikileaks) 9 ноября 2017 г.
Угрозы безопасности
• Контроллер USB-C для iPhone и его систему безопасности взломали – это могут использовать для джейлбрейка
• Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках