Недавняя утечка данных ЦРУ из WikiLeaks под названием Vault7 проливает свет на многие аспекты деятельности ЦРУ в сфере киберразведки. Для меня открытие того, что значительная часть вредоносного кода, используемого ЦРУ для слежки за иностранными гражданами по всему миру, содержит фрагменты кода известных общедоступных вредоносных программ, стало одним из самых важных и значимых открытий.
Недавно WikiLeaks опубликовал документы под названием Vault7, содержащие информацию о программе киберразведки ЦРУ. У ЦРУ есть подразделение в Лэнгли, штат Вирджиния, известное как CCI (Центр киберразведки) (см. организационную схему ниже). Это подразделение отвечает за разработку собственной программы киберразведки, независимой от АНБ. Этот сброс данных показывает, что эта программа разработала вредоносное ПО, заражающее iPhone, Windows, телефоны Android и даже телевизоры Samsung.
В рамках CCI при ЦРУ существует ещё одна группа, известная как Umbrage Group. Как указано в приведённом ниже документе, Umbrage Group было поручено поддерживать библиотеку повторно используемого кода из других известных общедоступных вредоносных программ. Таким образом, ЦРУ могло быстро разрабатывать вредоносное ПО на основе фрагментов других известных вредоносных программ. В документах указывается, что ЦРУ повторно использовало код Shamoon, Upclicker, Nuclear Exploit Kits и HiKit, среди прочих. Они также использовали другие известные вредоносные программы, отредактированные из этих документов. Кроме того, ЦРУ, вероятно, использовало все или часть эксплойтов нулевого дня Hacking Team, итальянской частной компании по разработке эксплойтов, которая продаёт свои эксплойты правительствам.
Это убедительный аргумент в пользу повышения квалификации специалиста по кибербезопасности путем изучения метода обратной разработки вредоносных программ . По моему опыту, ни АНБ, ни ЦРУ не изобретают велосипед при разработке новых вредоносных программ. Они просто перепроектируют и переназначат вредоносное ПО, предварительно используя отладчики и дизассемблеры для поиска фрагментов кода, которые затем можно будет использовать повторно. Одно из многочисленных преимуществ такого подхода — возможность ввести криминалистов в заблуждение относительно источника вредоносного ПО (криминалисты часто отслеживают происхождение вредоносного ПО по повторно использованным фрагментам кода).
Это одна из главных причин, по которой я начал новую серию статей о реверс-инжиниринге вредоносных программ. В предыдущей статье я перечислил множество причин, по которым вам стоит изучить реверс-инжиниринг вредоносных программ, но, на мой взгляд, эти документы свидетельствуют о том, что многие организации, включая ЦРУ, занимаются реверс-инжинирингом вредоносных программ.
Чтобы достичь вершин в разработке эксплойтов и криминалистике вредоносных программ, вам необходимо понимать принципы обратного инжиниринга вредоносных программ.
Недавно WikiLeaks опубликовал документы под названием Vault7, содержащие информацию о программе киберразведки ЦРУ. У ЦРУ есть подразделение в Лэнгли, штат Вирджиния, известное как CCI (Центр киберразведки) (см. организационную схему ниже). Это подразделение отвечает за разработку собственной программы киберразведки, независимой от АНБ. Этот сброс данных показывает, что эта программа разработала вредоносное ПО, заражающее iPhone, Windows, телефоны Android и даже телевизоры Samsung.
В рамках CCI при ЦРУ существует ещё одна группа, известная как Umbrage Group. Как указано в приведённом ниже документе, Umbrage Group было поручено поддерживать библиотеку повторно используемого кода из других известных общедоступных вредоносных программ. Таким образом, ЦРУ могло быстро разрабатывать вредоносное ПО на основе фрагментов других известных вредоносных программ. В документах указывается, что ЦРУ повторно использовало код Shamoon, Upclicker, Nuclear Exploit Kits и HiKit, среди прочих. Они также использовали другие известные вредоносные программы, отредактированные из этих документов. Кроме того, ЦРУ, вероятно, использовало все или часть эксплойтов нулевого дня Hacking Team, итальянской частной компании по разработке эксплойтов, которая продаёт свои эксплойты правительствам.
Это убедительный аргумент в пользу повышения квалификации специалиста по кибербезопасности путем изучения метода обратной разработки вредоносных программ . По моему опыту, ни АНБ, ни ЦРУ не изобретают велосипед при разработке новых вредоносных программ. Они просто перепроектируют и переназначат вредоносное ПО, предварительно используя отладчики и дизассемблеры для поиска фрагментов кода, которые затем можно будет использовать повторно. Одно из многочисленных преимуществ такого подхода — возможность ввести криминалистов в заблуждение относительно источника вредоносного ПО (криминалисты часто отслеживают происхождение вредоносного ПО по повторно использованным фрагментам кода).
Это одна из главных причин, по которой я начал новую серию статей о реверс-инжиниринге вредоносных программ. В предыдущей статье я перечислил множество причин, по которым вам стоит изучить реверс-инжиниринг вредоносных программ, но, на мой взгляд, эти документы свидетельствуют о том, что многие организации, включая ЦРУ, занимаются реверс-инжинирингом вредоносных программ.
Чтобы достичь вершин в разработке эксплойтов и криминалистике вредоносных программ, вам необходимо понимать принципы обратного инжиниринга вредоносных программ.
