Разработчики: | Центральное разведывательное управление (ЦРУ) |
Отрасли: | Информационная безопасность |
2023: Старт использования ПО хакерами
10 января 2023 года компания Netlabs сообщила о том, что неизвестные злоумышленники создали новую вредоносную программу на основе шпионского комплекта Hive, который применялся ЦРУ для кражи тех или иных данных.
Исходный код инструмента Hive (не имеет отношения к одноимённой группе программ-вымогателей) был обнародован ресурсом WikiLeaks в рамках проекта Vault 8 ещё в ноябре 2017 года. Тогда говорилось, что ЦРУ маскирует вредоносный софт под продукты «Лаборатории Касперского». Как теперь сообщают специалисты Netlabs, 21 октября 2022 года был обнаружен подозрительный файл, взаимодействовавший с сервером управления по протоколу SSL с применением поддельных сертификатов «Лаборатории Касперского». Последующий анализ показал, что в основу зловреда положен код шпионское ПО ЦРУ.
Новый вредоносный инструмент получил название xdr33 — по имени встроенного сертификата CN=xdr33. Это бэкдор, основная задача которого заключается в сборе конфиденциальной информации и формировании плацдарма для последующих хакерских вторжений. Известно, что xdr33 использует алгоритм XTEA или AES для шифрования трафика. Зловред выполняет две ключевые функции — маяк и триггер. Первая отвечает за периодическую передачу на командно-контрольный сервер информации об инфицированном устройстве и выполнение полученных инструкций. Триггер осуществляет мониторинг сетевого трафика для извлечения команд от злоумышленников.
Эксперты Netlabs отмечают, что создатели xdr33 модифицировали код Hive, добавив новые инструкции и функции. Специалисты склонны считать, что ЦРУ не имеет отношения к созданию xdr33. Вероятнее всего, данную версию Hive разработала одна из киберпреступных группировок для собственных целей — в частности, для кражи данных и последующего проведения атак, например, с применением программ-вымогателей. [1]