«Проект Pandemic» превращает файловые серверы Windows в источники распространения угроз

2017-06-02 3820 комментарии
Сайт Wikileaks опубликовал новый свод документов из архива Vault7, который раскрывает подробности проекта ЦРУ под кодовым названием "Pandemic", который позволяет заражать компьютеры Windows в целях кибершпионажа

Проект Pandemic представляет собой программную закладку для систем Windows, которые обмениваются файлами с удаленными пользователями в локальной сети. Pandemic используется для заражения компьютеров за счет подмены кода приложения троянским модулем что называется “на лету” для целей кибершпионажа.

В описании на сайте WikiLeaks сообщается:

“Сегодня, 1 июня 2017 года, WikiLeaks опубликовал документы проекта “Pandemic” ЦРУ, которые подробно описывают сущность хакерской закладки для машин Microsoft Windows, обменивающихся файлами с удаленными пользователями в локальной сети. “Pandemic” нацелен на удаленных пользователей и заменяет код приложения троянской версией “на лету”, если программа извлекается с зараженной машины”.

Программная закладка преобразует файловые серверы в машины, которые заражают подключающиеся к ним компьютеры.

Зараженный модулями Pandemic компьютер с общими дисками в локальной сети является эквивалентом “Нулевого пациента” в медицине, который распространяет эпидемию. Он приводит к взлому удаленных компьютеров, если пользователь запустит приложения, хранящиеся на файловом сервере.

Зараженный модулями Pandemic компьютер

Программное средство Pandemic не изменяет файл на зараженной системе, когда жертвы запрашивают файл, они просто получают инфицированную трояном версию надежного приложения.

Программная закладка Pandemic способна заменить до 20 программ, максимальным размером до 800 мегабайт.

Приведем небольшой фрагмент доклада:

“Инструмент Pandemic запускается как код уровня ядра для установки драйвера фильтра файловой системы. Фильтр “заменяет” целевой файл заданной полезной нагрузкой, если удаленный пользователь попытается получить доступ к файлу по протоколу SMB (только для чтения). Pandemic не станет “заменять” целевой файл, если файл открыт на устройстве с работающими модулями Pandemic. Основная цель Pandemic - установиться на удаленные машины, которые используют SMB для загрузки или исполнения портативных исполняемых файлов. Pandemic не выполняет никаких физических изменений на диске. Пользователи, которые стали целями Pandemic получат “модифицированный” файл при попытке скачивания целевого объекта”.

Известно о пяти файлах проекта Pandemic, установка программной закладки происходит практически моментально - обычно операция занимает от 10 до 15 секунд.

В документации не содержится информация о процессе заражения. Также не указано, при каких условиях зараженные компьютеры становятся серверами Pandemic.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?