Кто считает, что операционная система Windows, установленная на компьютере является не пробиваемой и не подлежащей вскрытию, заблуждаются.
В рамках проекта "Убежище 7" WikiLeaks 31.08.2017 г.опубликовал сведения о возможностях спецслужб контролировать компьютеры, использующие операционную систему Microsoft Windows.
Для этого используется программный комплекс Angelfire, состоящий из пяти компонентов: Solartime, Wolfcreek, Keystone (ранее MagicWand), BadMFS и файловая система Windows Transitory.
Как и ранее рассмотренные проекты ЦРУ (Grasshopper и AfterMidnight), это постоянная структура, которая может загружать и выполнять пользовательские имплантаты на выбранные компьютеры.
Каждый из пяти компонентов выполняет предназначенную ему роль. Solartime изменяет загрузочный сектор раздела, так что, когда Windows загружает драйверы загрузочных устройств, он также загружает и выполняет имплантат Wolfcreek, который может загружать и запускать другие имплантаты Angelfire. Согласно документам, загрузка дополнительных имплантатов создает утечки памяти, которые могут быть обнаружены на зараженных компьютерах.
Keystone является частью имплантата Wolfcreek и отвечает за запуск вредоносных пользовательских приложений. Загруженные имплантаты никогда не используют файловую систему, поэтому очень сложно документально запротоколировать незаконное вторжение.
Однако он всегда маскируется под «C:\ Windows\system32\svchost.exe» и поэтому может быть обнаружен в диспетчере задач Windows, в том случае, если операционная система установлена на другом разделе или другим диске.
BadMFS - это библиотека, которая обеспечивает маскировку файлов, созданных в конце активного раздела (или в файле на диске в более поздних версиях). Раздел используется для хранения всех драйверов и имплантатов, которые внедряются Wolfcreek. Все файлы зашифрованы и перепутаны так, чтобы избежать сканирования строк или PE-заголовков.
Некоторые версии BadMFS можно обнаружить, потому что ссылка на скрытую файловую систему хранится в файле с именем «zf».
Файловая система Windows Transitory - это новый метод установки AngelFire . Вместо того, чтобы создавать независимые компоненты на диске, система позволяет оператору создавать временные файлы для определенных действий, включая установку, добавление файлов в AngelFire, удаление файлов из AngelFire и т.д. Файлы Transitory добавляются в «UserInstallApp».
1 комментарий