Последние документы, предоставленные Эдвардом Сноуденом (Edward Snowden), свидетельствуют о том, что подразделению АНБ Tailored Access Operations (TAO) удалось разработать так называемую систему TURBINE для того, чтобы заражать миллионы компьютеров пользователей по всему миру.
Опубликованные на портале The Intercept документы доказывают, что 10 лет тому назад АНБ только начало заражать и получать доступ к компьютерам пользователей, однако с тех пор, агентство значительно укрепило свои позиции в этом плане. В течение восьми лет количество инфицированных АНБ ПК увеличилось в разы до десятков тысяч. При этом арсенал вредоносного ПО TAO пополнился огромным количеством инструментов.
Известно, что изначально именно человеческий фактор не давал АНБ возможности расширить круг зараженных ПК, поэтому специалисты разработали автоматическую систему TURBINE, которая способна инфицировать вирусами группы компьютеров, а не каждый отдельно.
TURBINE использовалась с июля 2010 года и за короткое время успела заразить 100 тыс. устройств и ПК, при этом планировалось инфицировать еще больше машин. Согласно документам, в 2013 году АНБ выделело на поддержку и развитие команды TAO 67,6 млн долларов из средств налогоплательщиков.
TURBINE также входила в состав сенсорной системы АНБ под названием TURMOIL, нацеленной на мониторинг трафика и выявление потенциальных целей агентства. Спецслужба получала возможность отслеживать информацию пользователей по их адресам электронной почты, IP-адресам, по cookie-файлам, получаемых от Google, Microsoft, Twitter, Yahoo! и пр. По официальной информации, TURMOIL использовалась для выслеживания террористов, однако под ее действие также попадали и системные администраторы. Об этом свидетельствует комментарий во внутренней системе АНБ: «Я охочусь на системных администраторов».
Слежка за деятельностью системных администраторов полезна в рамках проведения вредоносных атак на маршрутизаторы крупных производителей и VPN. Известно, что АНБ разработало две вредоносные программы - HAMMERCHANT и HAMMERSTEIN, предназначенные для заражения маршрутизаторов и прослушивания VoIP-трафика, а также кражи ключей шифрования для расшифровки защищенных VPN-соединений в реальном времени.
Другие вредоносные программы включают в себя QUANTUMSKY, разработанную в 2004 году и позволяющую блокировать доступ к web-сайтам, а также QUANTUMCOPPER, созданную в 2008 году для компрометации любых данных, которые пользователь загружает на устройство.
Известно, что АНБ использовало для заражения компьютеров не вредоносные вложения электронной почты, а уязвимости в браузерах пользователей. Жертвы, которые посещали определенные сайты, перенаправлялись на сервер АНБ WILLOWVIXEN, содержащий вредоносное ПО FOXACID, которое обнаруживало уязвимость в браузере и использовало ее для компрометации ПК или мобильного устройства. В документах, обнародованных Сноуденом, указывается, что для заражения устройств АНБ создало поддельный сайт Facebook, который использовался для распространения вируса QUANTUMHAND, существующего с октября 2010 года.
Для нападения на компьютерные системы АНБ разработало семейство вредоносных программ QUANTUM, которая включала в себя ПО для перенаправления трафика, контроля за IRC-ботнетами, повреждения загрузочных файлов и подмена DNS. Другой вирус UNITEDRAKE поставляется с набором плагинов для осуществления различных задач. К примеру, плагин CAPTIVATEDAUDIENCE получает контроль над микрофоном системы и записывает разговоры, FOGGYBOTTOM сохраняет историю браузера и учетные данные, SALVAGERABBIT копирует содержимое съемных накопителей, подключаемых к ПК.
Для того чтобы избежать обнаружения, одна из разработанных АНБ программ под названием VALIDATOR наделена функцией самоуничтожения через заранее заданный период времени.
Эксперты отмечают, что разрабатывая подобные программы АНБ работает на руку хакерам, которые используют механизмы спецслужб для создания собственных вирусов, нацеленных на кражу финансовых средств и причинение другого ущерба пользователям.
Источник: SecurityLab
|