Hive решает критическую проблему операторов вредоносного ПО из ЦРУ. Даже самый сложный вредоносный имплантат на целевом компьютере будет бесполезен, если отсутствует возможность его взаимодействия с операторами безопасным способом, без привлечения внимания. Благодаря Hive, даже если на целевом компьютере будет обнаружена закладка, приписать ее ЦРУ будет очень сложно. Hive предоставляет платформу скрытой коммуникации для целого ряда вредоносных приложений коллекции ЦРУ и используется для отправки на серверы ЦРУ перехваченной информации и получения новых инструкций от операторов вредоносного ПО.
Hive может обслуживать несколько операций с использованием нескольких имплантатов на целевых компьютерах. Каждая операция анонимно регистрирует по крайней мере один домен-прикрытие (например, “perfect-boring-looking-domain.com”) для собственного использования. Сервер, на котором работает веб-сайт домена, арендуется у коммерческих хостинг-провайдеров как VPS (виртуальный частный сервер), и его программное обеспечение настраивается в соответствии со спецификациями ЦРУ. Эти серверы являются общедоступной частью инфраструктуры ЦРУ и выступают в качестве реле для трафика HTTP(S) по VPN-соединению со “скрытым” сервером ЦРУ под названием “Blot”.
Домен-прикрытие будет доставлять безобидное содержимое, если кто-либо захочет обратиться к нему напрямую. Посетитель будет видеть обычный сайт и не будет подозревать что-то еще. Единственная особенность сервера, которая не видна обычному пользователю - использование дополнительной аутентификации клиента. Hive использует нестандартную систему дополнительной аутентификации, поэтому пользователю, который посещает сайт не нужно проходить аутентификацию, она является опциональной. Однако, имплантаты, взаимодействующие к Hive проходят аутентификацию и поэтому могут быть обнаружены севером Blot. Трафик от имплантатов отправляется на шлюз управления оператора имплантата под названием Honeycomb, а весь другой трафик переходит на сервер-прикрытие, который обеспечивает обычных посетителей безопасным контентом.
Цифровые сертификаты для аутентификации имплантатов генерируются самим ЦРУ и выдают себя на существующие записи. Три примера, включенные в исходный код, создают поддельный сертификат для антивирусной компании “Лаборатория Касперского”, имитируя подпись Thawte Premium Server CA. Таким образом, если целевая организация анализирует сетевой трафик, то передаваемые на серверы ЦРУ данные идентифицируются некорректно.
RELEASE: Vault 8 part 1: CIA master infrastructure source code + logs for malware control system &&Hive&& https://t.co/EvE8GdyAmM #vault8 #cia #hive pic.twitter.com/W95Xah5Thr
— WikiLeaks (@wikileaks) 9 ноября 2017 г.
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания