( ЕСТЬ ПРОЕКТЫ КОТОРЫЕ ВЫЛОЖИЛИ СЕГОДНЯ) 29.06.17
ВСЕ ПРОЕКТЫ ЗА 2017 ГОД
OutlawCountry
документы из OutlawCountry проекта ЦРУ, ориентированных компьютеры , работающих под управлением операционной системы Linux. OutlawCountry позволяет использовать для перенаправления всех исходящего сетевого трафика на целевом компьютере в контролируемых ЦРУ машин для бывших и инфильтрации целей. Вредоносный состоит из модуля ядра , который создает скрытую таблицу NETFILTER на цели Linux; со знанием имени таблицы, оператор может создать правила , которые имеют приоритет по сравнению с существующими правилами NETFILTER / Iptables и скрыты от пользователя или даже системного администратора.
Установка и сохранение метод вредоносной программы не описаны подробно в документе; оператор должен будет опираться на имеющиеся подвигах ЦРУ и бэкдоров внедрить модуль ядра в целевой операционной системы. OutlawCountry 1.0 содержит один модуль ядра для 64-битного CentOS / RHEL 6.x; этот модуль будет работать только с ядрами по умолчанию. Кроме того , OutlawCountry v1.0 поддерживает только добавление скрытых правил DNAT в PREROUTING цепи.
САМИ ФАЙЛЫ (УТЕЧКА)
OutlawCountry Руководство пользователя Версия 1.0 <=(тык)
План v1.0 Тест OutlawCountry <=(тык)
Эльза
документы из ELSA проекта ЦРУ. ELSA является гео-местоположение вредоносных программ для Wi - Fi-устройств , таких как ноутбуки , работающих под управлением операционной системы Micorosoft Windows. После того, как постоянно установлен на целевом компьютере с использованием отдельных уязвимостей ЦРУ, сканирования вредоносных программ видны WiFi точки доступа и записывает идентификатор ESS, MAC - адрес и силы сигнала через равные промежутки времени. Чтобы выполнить сбор данных целевой машина не должна быть в сети или подключен к точке доступа; он только должен быть запущен с поддержкой Wi - Fi устройства. Если он подключен к Интернету, вредоносная программа автоматически пытается использовать общедоступные базы данных гео-местоположение с помощью Google или Microsoft, чтобы решить положение устройства и сохраняет данные долготы и широты вместе с меткой времени. Собранная информация точка доступа / географическая местоположение хранится в зашифрованном виде на устройстве для последующей эксфильтрации. Сама вредоносная программа не радиомаяк этих данные в ЦРУ фонового; вместо того, чтобы оператор должен активно получить файл журнала из устройства - снова с использованием отдельных подвигов ЦРУ и бэкдоров.
ЕАСЮ проект позволяет произвести настройку имплантата , чтобы соответствовать целевой среды и оперативных целей , как интервал дискретизации, максимальный размер файла журнала и способ вызова / сохранения состояния . Дополнительное фоновое программное обеспечение (опять же с помощью государственных баз данных гео-местоположения с помощью Google и Microsoft) преобразует необработанную информацию о точках доступа от exfiltrated логов к геолокационным данным для создания отслеживания профиля целевого устройства.
САМИ ФАЙЛЫ (УТЕЧКА)
Manual project Elsa <=(тык)
ПАНДЕМИЯ
документы из проекта «Pandemic» из ЦРУ, стойкого имплантат для машин Microsoft Windows, которые совместно используют файлы (программу) с удаленными пользователями в локальной сети. «пандемия» цели удаленных пользователей путем замены кода приложения на лету с trojaned версии, если программа извлекается из зараженной машины. Для того, чтобы запутать свою деятельность, исходный файл на файловом сервере остается неизменным; она изменяется только / заменить в то время как в пути от пандемического файлового сервера перед казнью на компьютере удаленного пользователя. Имплантат позволяет заменить до 20 программ с максимальным размером 800 МБ для выбранного списка удаленных пользователей (цели).
Как следует из названия, один компьютер в локальной сети с общими дисками, инфицированный имплантат «Pandemic» будет действовать как «Пациент Зеро» в распространении болезни. Он будет заражать удаленные компьютеры, если пользователь выполняет программы, хранящиеся на пандемический файловом сервере. Хотя прямо не указано в документах, представляется технически возможным, что удаленные компьютеры, которые обеспечивают общие файловые сами становятся новыми пандемия файловых серверов в локальной сети для достижения новых целей.
САМИ ФАЙЛЫ(УТЕЧКА)
Pandemic 1.1 (S/NF) <=ТЫК
Pandemic 1.1-RC1 (S/NF) <=ТЫК
Pandemic 1.1-RC1 -- IVVRR Checklist <=ТЫК
Pandemic 1.0 (S/NF) <=ТЫК
Pandemic 1.0 -- IVVRR Checklist <=ТЫК
Архимед
«Архимед», инструмент, используемый ЦРУ, чтобы атаковать компьютер внутри локальной сети (LAN), как правило, используются в офисах. Это позволяет переориентировав трафика от компьютера внутри локальной сети через компьютер заражен данной вредоносной программой, и под контролем ЦРУ. Этот метод используется ЦРУ, чтобы перенаправить веб-браузер компьютеров цели на сервер эксплуатации в то время как появляется в нормальном сеансе просмотра.
Документ иллюстрирует тип атаки в «защищенную среду», как инструмент развернут в существующей локальную сеть неуместной существующие машин, чтобы привлечь целевые компьютеры под контролем и позволяя дальнейшую эксплуатацию и злоупотребления.
Архимед Руководство пользователя 1.0 <=ТЫК
Архимед 1.3 Добавление <=ТЫК
Архимед 1,2 Добавление <=ТЫК
Архимед 1.1 Добавление <=ТЫК
Руководство пользователя Fulcrum v0.62 <=ТЫК
Плачущий ангел
Руководство пользователя для инструмента ЦРУ «Плачущий ангел» - имплантанта, предназначенного для Samsung F серии смарт-телевизоров. На основе «Расширение» инструмент из MI5 / БПС, имплантат предназначен для записи звука со встроенного микрофона и выхода или хранить данные.
Классификационные отметки Руководство пользователя документа намеком, который был изначально написан на британскую MI5 / БПС, а затем совместно с ЦРУ. Оба агентства сотрудничают в дальнейшем развитии вредоносных программ и координируют свою работу в совместных семинарах по развитию.
САМ ФАЙЛ(УТЕЧКА)
Расширение - Руководство пользователя <=ТЫК
Marble Framework (софт)
«Мрамор» - 676 файлов исходного кода для ЦРУ секретного анти-криминалистической Marble Framework . Мрамор используется затруднять судебных следователей и антивирусных компаний из приписывая вирусов, троянов и хакерских атак на ЦРУ.
Marble делает это путем сокрытия ( «запутывание») фрагментов текста , используемые в вредоносных программах ЦРУ от визуального осмотра. Это цифровая эквивалента из specalized инструмента ЦРУ на место покрывала английского текста языка на США производятся системы вооружений , прежде чем дать им повстанец тайно поддержанных ЦРУ.
Мрамор является составной частью ЦРУ по борьбе с судебно - медицинской экспертизой подхода и ЦРУ основной библиотеки вредоносного кода. Это « [D] esigned для обеспечения гибкого и простого в использовании запутывания » , как « алгоритмы строки обфускации (особенно те , которые являются уникальными) часто используется для связывания вредоносных программ для конкретного разработчика или магазина развития. »
Мраморный исходный код также включает в себя Deobfuscator для обратного CIA текста запутывания. В сочетании с выявленными методы запутывания, шаблон или подпись появляется , которая может помочь судебно - медицинской экспертизы исследователи приписывают предыдущие атаки взлома и вирусов в ЦРУ. Мрамор был в использовании в ЦРУ в течение 2016 года достиг 1,0 в 2015 году.
Исходный код показывает, что мрамор имеет тестовые примеры не только на английском, но и на китайском, русском, корейском, арабском и фарси. Это позволило бы судебную атрибуции двойной игры, например, делая вид, что разговорный язык вредоносного создателя не американский английский, но китайский, но затем показывает попытку скрыть использование китайского языка, рисование судебных следователей еще сильнее к неправильному заключению --- но есть и другие возможности, такие как прячась поддельными сообщениями об ошибках.
Мраморная Framework используется только для запутывания и не содержит каких-либо vulnerabilties или эксплойты сам по себе.
САМИ КОДЫ( УТЕЧКА)
СКАЧАТЬ(Marble) <ТЫК
Темная материя
«Dark Matter», который содержит документацию для нескольких проектов ЦРУ, которые заражают Apple Mac прошивки (то есть инфекция сохраняется, даже если операционная система повторно установлена), разработанной Embedded отделение развития ЦРУ ( ЕАБР). Эти документы объясняют методы, используемые ЦРУ, чтобы получить «сохранение» на Apple Mac устройств, в том числе Macs и iPhone'ов и продемонстрировать их использование EFI / UEFI и прошивки вредоносных программ.
Среди прочего, эти документы показывают проект «Соник Отвертка», который, как пояснил ЦРУ, является «механизмом для выполнения кода на периферийных устройствах, а портативные компьютеры Mac или настольный компьютер загружается» позволяет злоумышленнику загрузить свое программное обеспечение атаки, например, из флешка «даже если пароль прошивки включен». инфектор ЦРУ «Соник Отвертка» хранится на модифицированной прошивке адаптера Apple, Thunderbolt-к-Ethernet.
«DarkSeaSkies» является «имплантат, который сохраняется в EFI микропрограмме компьютера Apple MacBook Air» и состоит из «DarkMatter», «SeaPea» и «NightSkies», соответственно EFI, пространство ядра и пользовательское пространство имплантат.
Документы на «Тритон» MacOSX вредоносных программ, его инфектор «Dark Молоток» и его EFI-стойкие версии «DerStarke» также включены в этот релиз. В то время как руководство DerStarke1.4 выпустила сегодня даты на 2013 год , другие хранилища документов : 7 показывают , что в 2016 году ЦРУ продолжает опираться и обновлять эти системы и работает на производстве DerStarke2.0 .
Кроме того, в этой версии является руководством для ЦРУ «NightSkies 1.2» а «радиомаяк / погрузчик / инструмент имплантат» для Apple, iPhone. Обращает на себя внимание, что NightSkies достиг 1,2 к 2008 году, и специально разработан для физически установлен на заводе свежих iPhone'ов. т.е. ЦРУ заражало цепочку поставок iPhone своих целей, по крайней мере, 2008.
В то время как активы ЦРУ иногда используется физически заражающими системы в хранении цели вполне вероятно, что многие атаки физического доступа ЦРУ заразили цепи поставок Целенаправленной организации в то числе путем перехвата заказов почты и другие грузы (открытие, заражая и повторный) оставляя США или иным образом.
Sonic Screwdriver
DerStarke v1.4
DerStarke v1.4 RC1 - IVVRR Checklist
DarkSeaSkies v1.0 - Test Plan Procedures
FDOS_1_0_FINAL_freedos_setup_odin_fips
«Недавно ЦРУ утратило контроль над большей частью своего хакерского арсенала, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня, вредоносные системы удаленного доступа и связанную с этим документацию. Эта исключительная коллекция, насчитывающая несколько сотен миллионов строк кода, дарует своим обладателям всю хакерскую мощь ЦРУ. Данный архив, судя по всему, без надлежащего разрешения циркулировал среди бывших правительственных хакеров США и подрядчиков, один из которых предоставил часть архива в распоряжение Wikileaks».
Дамп содержит только документацию, и решение избегать публикации и распространения готового к работе кибероружия, разумеется, было осознанным.Представители Wikileaks полагают, что сначала нужно разобраться с тем, как правильно изучить и обезвредить эти инструменты, приняв во внимание технические и политические аспекты проблемы. И лишь после этого их будет возможно обнародовать.
Тем не менее, опубликованная в виде торрент-файла документация (пароль от архива: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds и это цитата президента Джона Кеннеди) содержит множество интересных подробностей. Документация проливает свет на взлом устройств, работающих под управлением iOS и Android, «умных» телевизоров Samsung, а также рассказывает о том, какие методы спецслужбы используют для перехвата сообщений в WhatsApp, Telegram и Signal.
https://wikileaks.org/ciav7p1/ <=
ВСЕ ПРОЕКТЫ ЗА 2017 ГОД
OutlawCountry
документы из OutlawCountry проекта ЦРУ, ориентированных компьютеры , работающих под управлением операционной системы Linux. OutlawCountry позволяет использовать для перенаправления всех исходящего сетевого трафика на целевом компьютере в контролируемых ЦРУ машин для бывших и инфильтрации целей. Вредоносный состоит из модуля ядра , который создает скрытую таблицу NETFILTER на цели Linux; со знанием имени таблицы, оператор может создать правила , которые имеют приоритет по сравнению с существующими правилами NETFILTER / Iptables и скрыты от пользователя или даже системного администратора.
Установка и сохранение метод вредоносной программы не описаны подробно в документе; оператор должен будет опираться на имеющиеся подвигах ЦРУ и бэкдоров внедрить модуль ядра в целевой операционной системы. OutlawCountry 1.0 содержит один модуль ядра для 64-битного CentOS / RHEL 6.x; этот модуль будет работать только с ядрами по умолчанию. Кроме того , OutlawCountry v1.0 поддерживает только добавление скрытых правил DNAT в PREROUTING цепи.
САМИ ФАЙЛЫ (УТЕЧКА)
OutlawCountry Руководство пользователя Версия 1.0 <=(тык)
План v1.0 Тест OutlawCountry <=(тык)
Эльза
документы из ELSA проекта ЦРУ. ELSA является гео-местоположение вредоносных программ для Wi - Fi-устройств , таких как ноутбуки , работающих под управлением операционной системы Micorosoft Windows. После того, как постоянно установлен на целевом компьютере с использованием отдельных уязвимостей ЦРУ, сканирования вредоносных программ видны WiFi точки доступа и записывает идентификатор ESS, MAC - адрес и силы сигнала через равные промежутки времени. Чтобы выполнить сбор данных целевой машина не должна быть в сети или подключен к точке доступа; он только должен быть запущен с поддержкой Wi - Fi устройства. Если он подключен к Интернету, вредоносная программа автоматически пытается использовать общедоступные базы данных гео-местоположение с помощью Google или Microsoft, чтобы решить положение устройства и сохраняет данные долготы и широты вместе с меткой времени. Собранная информация точка доступа / географическая местоположение хранится в зашифрованном виде на устройстве для последующей эксфильтрации. Сама вредоносная программа не радиомаяк этих данные в ЦРУ фонового; вместо того, чтобы оператор должен активно получить файл журнала из устройства - снова с использованием отдельных подвигов ЦРУ и бэкдоров.
ЕАСЮ проект позволяет произвести настройку имплантата , чтобы соответствовать целевой среды и оперативных целей , как интервал дискретизации, максимальный размер файла журнала и способ вызова / сохранения состояния . Дополнительное фоновое программное обеспечение (опять же с помощью государственных баз данных гео-местоположения с помощью Google и Microsoft) преобразует необработанную информацию о точках доступа от exfiltrated логов к геолокационным данным для создания отслеживания профиля целевого устройства.
САМИ ФАЙЛЫ (УТЕЧКА)
Manual project Elsa <=(тык)
ПАНДЕМИЯ
документы из проекта «Pandemic» из ЦРУ, стойкого имплантат для машин Microsoft Windows, которые совместно используют файлы (программу) с удаленными пользователями в локальной сети. «пандемия» цели удаленных пользователей путем замены кода приложения на лету с trojaned версии, если программа извлекается из зараженной машины. Для того, чтобы запутать свою деятельность, исходный файл на файловом сервере остается неизменным; она изменяется только / заменить в то время как в пути от пандемического файлового сервера перед казнью на компьютере удаленного пользователя. Имплантат позволяет заменить до 20 программ с максимальным размером 800 МБ для выбранного списка удаленных пользователей (цели).
Как следует из названия, один компьютер в локальной сети с общими дисками, инфицированный имплантат «Pandemic» будет действовать как «Пациент Зеро» в распространении болезни. Он будет заражать удаленные компьютеры, если пользователь выполняет программы, хранящиеся на пандемический файловом сервере. Хотя прямо не указано в документах, представляется технически возможным, что удаленные компьютеры, которые обеспечивают общие файловые сами становятся новыми пандемия файловых серверов в локальной сети для достижения новых целей.
САМИ ФАЙЛЫ(УТЕЧКА)
Pandemic 1.1 (S/NF) <=ТЫК
Pandemic 1.1-RC1 (S/NF) <=ТЫК
Pandemic 1.1-RC1 -- IVVRR Checklist <=ТЫК
Pandemic 1.0 (S/NF) <=ТЫК
Pandemic 1.0 -- IVVRR Checklist <=ТЫК
Архимед
«Архимед», инструмент, используемый ЦРУ, чтобы атаковать компьютер внутри локальной сети (LAN), как правило, используются в офисах. Это позволяет переориентировав трафика от компьютера внутри локальной сети через компьютер заражен данной вредоносной программой, и под контролем ЦРУ. Этот метод используется ЦРУ, чтобы перенаправить веб-браузер компьютеров цели на сервер эксплуатации в то время как появляется в нормальном сеансе просмотра.
Документ иллюстрирует тип атаки в «защищенную среду», как инструмент развернут в существующей локальную сеть неуместной существующие машин, чтобы привлечь целевые компьютеры под контролем и позволяя дальнейшую эксплуатацию и злоупотребления.
Архимед Руководство пользователя 1.0 <=ТЫК
Архимед 1.3 Добавление <=ТЫК
Архимед 1,2 Добавление <=ТЫК
Архимед 1.1 Добавление <=ТЫК
Руководство пользователя Fulcrum v0.62 <=ТЫК
Плачущий ангел
Руководство пользователя для инструмента ЦРУ «Плачущий ангел» - имплантанта, предназначенного для Samsung F серии смарт-телевизоров. На основе «Расширение» инструмент из MI5 / БПС, имплантат предназначен для записи звука со встроенного микрофона и выхода или хранить данные.
Классификационные отметки Руководство пользователя документа намеком, который был изначально написан на британскую MI5 / БПС, а затем совместно с ЦРУ. Оба агентства сотрудничают в дальнейшем развитии вредоносных программ и координируют свою работу в совместных семинарах по развитию.
САМ ФАЙЛ(УТЕЧКА)
Расширение - Руководство пользователя <=ТЫК
Marble Framework (софт)
«Мрамор» - 676 файлов исходного кода для ЦРУ секретного анти-криминалистической Marble Framework . Мрамор используется затруднять судебных следователей и антивирусных компаний из приписывая вирусов, троянов и хакерских атак на ЦРУ.
Marble делает это путем сокрытия ( «запутывание») фрагментов текста , используемые в вредоносных программах ЦРУ от визуального осмотра. Это цифровая эквивалента из specalized инструмента ЦРУ на место покрывала английского текста языка на США производятся системы вооружений , прежде чем дать им повстанец тайно поддержанных ЦРУ.
Мрамор является составной частью ЦРУ по борьбе с судебно - медицинской экспертизой подхода и ЦРУ основной библиотеки вредоносного кода. Это « [D] esigned для обеспечения гибкого и простого в использовании запутывания » , как « алгоритмы строки обфускации (особенно те , которые являются уникальными) часто используется для связывания вредоносных программ для конкретного разработчика или магазина развития. »
Мраморный исходный код также включает в себя Deobfuscator для обратного CIA текста запутывания. В сочетании с выявленными методы запутывания, шаблон или подпись появляется , которая может помочь судебно - медицинской экспертизы исследователи приписывают предыдущие атаки взлома и вирусов в ЦРУ. Мрамор был в использовании в ЦРУ в течение 2016 года достиг 1,0 в 2015 году.
Исходный код показывает, что мрамор имеет тестовые примеры не только на английском, но и на китайском, русском, корейском, арабском и фарси. Это позволило бы судебную атрибуции двойной игры, например, делая вид, что разговорный язык вредоносного создателя не американский английский, но китайский, но затем показывает попытку скрыть использование китайского языка, рисование судебных следователей еще сильнее к неправильному заключению --- но есть и другие возможности, такие как прячась поддельными сообщениями об ошибках.
Мраморная Framework используется только для запутывания и не содержит каких-либо vulnerabilties или эксплойты сам по себе.
САМИ КОДЫ( УТЕЧКА)
СКАЧАТЬ(Marble) <ТЫК
Темная материя
«Dark Matter», который содержит документацию для нескольких проектов ЦРУ, которые заражают Apple Mac прошивки (то есть инфекция сохраняется, даже если операционная система повторно установлена), разработанной Embedded отделение развития ЦРУ ( ЕАБР). Эти документы объясняют методы, используемые ЦРУ, чтобы получить «сохранение» на Apple Mac устройств, в том числе Macs и iPhone'ов и продемонстрировать их использование EFI / UEFI и прошивки вредоносных программ.
Среди прочего, эти документы показывают проект «Соник Отвертка», который, как пояснил ЦРУ, является «механизмом для выполнения кода на периферийных устройствах, а портативные компьютеры Mac или настольный компьютер загружается» позволяет злоумышленнику загрузить свое программное обеспечение атаки, например, из флешка «даже если пароль прошивки включен». инфектор ЦРУ «Соник Отвертка» хранится на модифицированной прошивке адаптера Apple, Thunderbolt-к-Ethernet.
«DarkSeaSkies» является «имплантат, который сохраняется в EFI микропрограмме компьютера Apple MacBook Air» и состоит из «DarkMatter», «SeaPea» и «NightSkies», соответственно EFI, пространство ядра и пользовательское пространство имплантат.
Документы на «Тритон» MacOSX вредоносных программ, его инфектор «Dark Молоток» и его EFI-стойкие версии «DerStarke» также включены в этот релиз. В то время как руководство DerStarke1.4 выпустила сегодня даты на 2013 год , другие хранилища документов : 7 показывают , что в 2016 году ЦРУ продолжает опираться и обновлять эти системы и работает на производстве DerStarke2.0 .
Кроме того, в этой версии является руководством для ЦРУ «NightSkies 1.2» а «радиомаяк / погрузчик / инструмент имплантат» для Apple, iPhone. Обращает на себя внимание, что NightSkies достиг 1,2 к 2008 году, и специально разработан для физически установлен на заводе свежих iPhone'ов. т.е. ЦРУ заражало цепочку поставок iPhone своих целей, по крайней мере, 2008.
В то время как активы ЦРУ иногда используется физически заражающими системы в хранении цели вполне вероятно, что многие атаки физического доступа ЦРУ заразили цепи поставок Целенаправленной организации в то числе путем перехвата заказов почты и другие грузы (открытие, заражая и повторный) оставляя США или иным образом.
Sonic Screwdriver
DerStarke v1.4
DerStarke v1.4 RC1 - IVVRR Checklist
DarkSeaSkies v1.0 - Test Plan Procedures
FDOS_1_0_FINAL_freedos_setup_odin_fips
«Недавно ЦРУ утратило контроль над большей частью своего хакерского арсенала, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня, вредоносные системы удаленного доступа и связанную с этим документацию. Эта исключительная коллекция, насчитывающая несколько сотен миллионов строк кода, дарует своим обладателям всю хакерскую мощь ЦРУ. Данный архив, судя по всему, без надлежащего разрешения циркулировал среди бывших правительственных хакеров США и подрядчиков, один из которых предоставил часть архива в распоряжение Wikileaks».
Дамп содержит только документацию, и решение избегать публикации и распространения готового к работе кибероружия, разумеется, было осознанным.Представители Wikileaks полагают, что сначала нужно разобраться с тем, как правильно изучить и обезвредить эти инструменты, приняв во внимание технические и политические аспекты проблемы. И лишь после этого их будет возможно обнародовать.
Тем не менее, опубликованная в виде торрент-файла документация (пароль от архива: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds и это цитата президента Джона Кеннеди) содержит множество интересных подробностей. Документация проливает свет на взлом устройств, работающих под управлением iOS и Android, «умных» телевизоров Samsung, а также рассказывает о том, какие методы спецслужбы используют для перехвата сообщений в WhatsApp, Telegram и Signal.
https://wikileaks.org/ciav7p1/ <=
Последнее редактирование:
