WikiLeaks выпускает руководство для Linux Implant «Aeris»
WikiLeaks довольно неуклонно выпускает документы из так называемых «утечек Vault 7», и теперь выпущена документация об инструменте, известном как «Aeris», который специально нацелен на системы POSIX, такие как пара дистрибутивов GNU / Linux.
Размещено на WikiLeaks вчера, была информация об «Имперском» проекте ЦРУ,
Aeris — это автоматизированный имплант, написанный на C, который поддерживает ряд систем на основе POSIX (Debian, RHEL, Solaris, FreeBSD, CentOS). Он поддерживает автоматическую эксфильтрацию файлов, настраиваемый интервал передачи сигналов и джиттер, автономную поддержку HTTPS LP и поддержку протокола SMTP на основе коллайдеров — и все это с шифрованием TLS с взаимной аутентификацией.
Он совместим со спецификацией криптографии NOD и обеспечивает структурированное управление и контроль, аналогичный тому, который используется некоторыми имплантатами Windows.
Однако эта статья будет посвящена именно Aeris.
Что это такое?
Aeris выглядит как имплант, позволяющий агенту извлекать и отправлять информацию о зараженной системе через зашифрованные TLS каналы.
Существует несколько способов передачи информации, таких как почтовые системы, такие как Postfix, которые позволяют агенту отправлять сильно зашифрованную информацию по назначению практически без возможности взлома с использованием шифрования AES256.
Какие системы нацелены?
- Debian Linux 7 (i386)
- Debian Linux 7 (amd64)
- Debian Linux 7 (ARM)
- Red Hat Enterprise Linux 6 (i386)
- Red Hat Enterprise Linux 6 (amd64)
- Solaris 11 (i386)
- Solaris 11 (SPARC)
- FreeBSD 8 (i386)
- FreeBSD 8 (amd64)
- CentOS 5.3 (i386)
- CentOS 5.7 (i386)
Распространение Aeris состоит из набора утилит Python и набора двоичных файлов, по одному для каждой платформы, на которую нацелена Aeris.
У Aeris нет отдельного установщика. Чтобы развернуть его, просто поместите двоичный файл Aeris в
желаемый каталог. Переименуйте двоичный файл как хотите. Обратите внимание, что конфигурация
исправляется во время сборки; следовательно, никаких дополнительных файлов (кроме, возможно, связанных с
настойчивость — см. следующий раздел).
И что?
Хотя многие люди могут рассматривать это на политическом уровне или по теме защиты конфиденциальности и т. Д., Я смотрю на это с точки зрения безопасности в будущем.
В прошлом вредоносные программы, которые вызывали проблемы у населения, основывались на государственных вредоносных программах; например, WannaCry. WannaCry изначально был основан на EternalBlue, что многие приписывают АНБ.
С выпуском этой информации об Aeris я опасаюсь, что черные шляпы (читай: плохие хакеры) могут получить / разработать что-то подобное и злонамеренно использовать методы, описанные в документации.
Однако, с учетом вышесказанного, большинству домашних пользователей не о чем беспокоиться, и если у сервера нет причин стать целью; Опять же, не о чем беспокоиться. Но самообразование по этой теме никогда не бывает плохим!
Эээ …
В Руководстве есть довольно забавная часть одного абзаца, на которую я подумал, что могу указать:
С каждым экземпляром имплантата связан уникальный центр сертификации. Закрытый ключ CA используется для подписи сертификата имплантата, а также сертификатов для каждого LP, связанного с рассматриваемым имплантатом.
Если кто-то действительно прочитает этот абзац, он или она имеет право на небольшой денежный приз, предоставленный руководителем команды Aeris. Данные, собранные имплантатом, нельзя расшифровать без закрытого ключа CA; следовательно, этот ключ считается SECRET // NOFORN и должен храниться в секретной сети. Все ключи и сертификаты (CA, target и LP) имеют размер 2048 бит.
Вывод
Многим людям нравится думать, что системы GNU / Linux непобедимы и что, просто запустив систему на основе Linux, вы полностью защищены от вредоносных программ и тому подобного; эти релизы являются еще одним доказательством того, что это не так; Будем надеяться, что больше злоумышленников не попытаются воспользоваться этими новыми инструментами!
Для тех, кто желает ознакомиться с информацией об Aeris, вы можете найти руководство Вот (PDF).
