Сегодня, 7 апреля 2017 года, на страницах Wikileaks были опубликованы 27 новых документов из цикла Vault 7. Напомню, что это название было присвоено огромному дампу секретных документов Центрального разведывательного управления (ЦРУ) США, который Wikileaks начала обнародовать ровно месяц назад, 7 марта 2017 года.
Свежая публикация получила название Grasshopper, по имени инструмента, которому она посвящается. Упоминания о фреймворке для создания Windows-малвари уже встречались в бумагах, опубликованных Wikileaks ранее, но 27 новых документов описывают работу Grasshopper во всех подробностях.
Так, согласно бумагам, перед использованием Grasshopper оперативникам ЦРУ нужно было собрать определенную техническую информацию о цели. Обращаться к Grasshopper стоит лишь собрав данные о том, какой ОС пользуется будущая жертва, какие защитные решения установлены на ее машине и узнав прочие технические подробности. Затем Grasshopper автоматически подберет необходимые для работы компоненты, при помощи которых можно будет создать кастомный Windows-инсталлятор, подходящий для конкретной цели.
В опубликованных инструкциях можно найти немало интересного. К примеру, среди бумаг есть описание того, как обходить антивирусы Microsoft Windows Defender, Symantec и «Лаборатории Касперского». Также документы, посвященные одному из компонентов Grasshopper, под названием Stolen Goods, дают понять, что часть кода была позаимствована у небезызвестного банковского вредоноса Carberp, созданного российскими хакерами.
Напомню, что ранее Wikileaks уже обнародовала три дампа с информацией ЦРУ. Первая публикация получила название «Год зеро» (Year Zero) и содержала 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли. Вторая партия документов получила имя «Темная материя» (Dark Matter), и эти бумаги посвящены ряду проектов спецслужб, при помощи которых технику Apple (Mac, iPhone) заражают устойчивой малварью, которая продолжает «жить» в прошивке даже после переустановки ОС. Третий дамп был посвящен одному из наиболее «безобидных» инструментов в арсенале ЦРУ – инструменту для обфускации кода, фреймворку Marble и 676 файлов с его исходными кодами.
xakep.ru