Top menu

Ковыряясь в ЦРУшном улье…

9-го ноября, Викиликс обнародовали исходные коды к очередному проекту ЦРУ, под названием Hive (переводится как улей, хотя имеет и значение «хата» в смысле шумного тусовочного места).

Hive решает критически-важную для ЦРУ задачу маскировки того, кто реально стоит за атаками и управляет различными вредоносными программами-шпионами. Т.е. говоря техническим языком – затрудняет атрибуцию атаки.

Hive это по сути коммуникационная серверная платформа, обеспечивающая разнообразные шпионские программы ЦРУ безопасным каналом связи с управляющим центром, для передачи логов и получения управляющих команд.

Hive одновременно обеспечивает множество оперативных мероприятий с разнообразными шпионскими программами, задействованными в них. Под каждую такую операцию ЦРУ приобретает виртуальный хостинг (VPS) у коммерческой хостинговой компании и регистрирует доменное имя. Эти публичные сервера по сути выступают ширмой для всей остальной инфраструктуры ЦРУ, обеспечивающей сбор логов и передачу команд управления. Если зайти на такой сервер обычным браузером, то покажется некое «невинное содержимое», чтобы посетитель ничего не заподозрил.

Схема Hive

В общем схема достаточно очевидная, но что тут действительно интересно это то, что публичные сервера-прокладки настроены на использование одной малоизвестной опции HTTPS-протокола - Optional Client Authentication. Модуль Hive, это реализующий, в терминологии ЦРУ называется Switchblade (выкидной нож). Он построен на основе веб-сервера Nginx. И, собственно, нужен чтобы переадресовывать запросы либо на сервер прикрытия Cover Server (служит для отдачи «невинного содержимого» ничего не подозревающим, случайно зашедшим пользователям), либо на управляющий шлюз Honeycomb (служит для связи со шпионскими программами).

Вот файл конфигурации Nginx, где видно что используется "ssl_verify_client optional".

# HTTPS server

server {
        listen		172.16.63.113:443 ssl;
        server_name	nginx.edb.devlan.net;

        ssl_certificate				/etc/nginx/certs/domainA/server.crt;
        ssl_certificate_key			/etc/nginx/certs/domainA/server.key;
        ssl_client_certificate			/etc/nginx/certs/domainA/ca.crt;
        ssl_verify_client			optional;
        ssl_verify_depth			2;
        ssl_protocols				TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers		on;                                                           
        proxy_set_header	Host		$host:$proxy_port; 
                                                                                                                                                        
        location / {                                                                                                                                    
                if ($ssl_client_verify = SUCCESS) {                                                                                                     
                        proxy_pass   http://172.16.64.100:4098;                                                                              
                }
                proxy_pass      http://172.16.64.12:44302;
        }
}

Отдельно стоит отметить, что ЦРУ использует поддельные цифровые SSL-сертификаты для аутентификации своих вредоносных программ на управляющем шлюзе Honeycomb. В утекших исходниках находятся такие поддельные сертификаты, выпущенные якобы удостоверяющим центром компании Thawte для Лаборатории Касперского.

Поддельный клиентский сертификат

Собственно, если открыть данные сертификаты средствами ОС, то сразу будет видно, что они поддельные (как минимум не действительные по какой-то причине). Однако, ЦРУ использует их для маскировки трафика – если кто-то решит проанализировать исходящий трафик в своей организации, то в логах сниффера будет виден довольно безобидный SSL-трафик с сертификатом Лаборатории Касперского. Скорее всего такие поддельные сертификаты ЦРУ выпускает (выпускало) под различные антивирусы, ведь антивирусы сами по себе используют MITM- атаку (а значит подменяют SSL-сертификаты сайтов на свой сертификат) для проверки SSL-трафика на локальных компьютерах.

Автор: Ашот Оганесян