Зафиксирована активность шпионского ПО, созданного при участии ЦРУ
Перехвачен бэкдор, код которого был заимствован из набора HIVE, разработанного в ЦРУ. Является ли этот бэкдор непосредственным изделием американской киберразведки, или производным, созданным кем-то еще, неизвестно.
Подозрительный ELF
Эксперты китайской компании Qihoo Netlab 360 объявили об обнаружении нового бэкдора, использующего вредоносный код, предположительно разработанный в ЦРУ.
Речь идет о наборе средств для кибервзлома Project Hive, информация о котором утекла в апреле 2017 г. через Wikileaks. Тогда было опубликовано несколько документов, в которых Project Hive был назван «управляющей инфраструктурой», используемой разведкой США для распространения своих шпионских модулей и вывода интересующей их информации.
В октябре 2021 г. одна из «ловушек» Netlab 360 перехватила подозрительный файл ELF, который, при ближайшем рассмотрении, оказался вредоносом, распространяющимся через уязвимость нулевого дня в разработках технологической корпорации F5, специализирующейся, кстати, на информационной безопасности приложений, облачных ресурсов, борьбе с мошенничеством и т. д.
Исследователи обнаружили, что вредонос обращается к IP-адресу 45.9.150.144, используя SSL-соединение с поддельным сертификатом, якобы выпущенным «Лабораторией Касперского».
В дальнейшем удалось установить, что вредонос использует код Hive. Ему присвоили название xdr33.
«Из текста публикации Netlab 360 не следует однозначно, что этот бэкдор является прямой разработкой ЦРУ, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Указывается, что это “вариант HIVE”, то есть, это может быть оригинал, а может — дериватив, созданный в результате утечки кода. Второй вариант даже хуже, потому что это означает, что этим кодом, судя по всему, очень качественно написанным, будут пытаться пользоваться кто попало, с любыми целями».
Бэкдор с двумя функциями
Бэкдор был создан, очевидно, с целью сбора важной информации и установления постоянного присутствия в целевой инфраструктуре. Он использует алгоритмы XTEA или AES для шифрования траффика, который дополнительно защищается SSL.
Как отметили исследователи, у бэкдора только две задачи или функции — «маяк» и «триггер». Первая регулярно передает одному из контрольных серверов данные о систме и выполняет команды, которые тот присылает в ответ. Вторая мониторит NIC-трафик с целью идентификации определенных сообщений, в которых скрыты данные о втором контрольном сервере. После их получения устанавливается соединение со вторым сервером, и вредонос ожидает команд уже от него.
Эксперты Netlab 360 отмечают, что сэмпл вредоносных программ, относящихся к набору HIVE, перехвачен впервые, хотя некоторая информация о них доступна уже более пяти лет. Впрочем, на Wikileaks сугубо технических подробностей почти нет.