Страницы

Закладки АНБ. Часть 3. Жучки.


Мне всегда было смешно, когда в американских боевиках главный герой вставляет флешку во вражеский сервер, и через минуту он уже управляет системой безопасности здания. 
Я не мог понять, как флешка с файлами может автоматически запустится на никсах, получить рутовый доступ и связаться по радиоканалу с хакером, который сидит в тонированном фургоне за 2 квартала от вражеского здания. Эти флешки я считал фантазией сценаристов, и я оказался почти прав: частенько в таких флешках у АНБ нет необходимости, у них есть штуки намного круче!



ХЛОПКОВЫЕ ГУБКИ (COTTONMOUTH)


Это семейство аппаратных закладок - полнофунциональных микрокомпьютеров с ARM архитектурой, закамуфлированных под USB-кабель или USB-порт. Кроме микрокомпьютера TRINITY в закладке так же содержится радио модуль HOWLERMONKEY для организации двухстороннего радиоканала на средних и коротких дистанциях. 
CM-I представляет собой с виду обычный USB кабель (см. первую картинку) и может поставляться в виде USB удлинителя или любого USB устройства (например, клавиатуры). CM-I и CM-II впаиваются в материнскую плату (заменяют собой стандартный USB+Ethernet порт). 
Основной функционал закладки - установка программного жучка и организация ячеистой радиосети на коротких дистанциях. Для установки софта весьма вероятно закладка эмулирует USB клавиатуру
Как и другие закладки АНБ, Хлопковые Губки работают в комплексе. Программные закладки используют возможности Губок по скрытной радиосвязи с другими ПК (даже не подключенными к сети), а Губки при необходимости переустанавливают программные закладки (например, при форматировании жесткого диска).
Нужно сказать, что место для закладки выбрано крайне удачно. К USB порту на материнской плате подведены линии питания и компьютерная сеть. Элементы закладки спрятаны от любопытных глаз металлическим экраном и, к тому же, CM-III будет проблематично обнаружить при рентгене материнской платы, так как управляющая плата TRINITY расположена вертикально и на снимке будет практически не видна.


Еще один вариант использования Губок - FIREWALK.
FIREWALK очень похож на CM-III. Вероятно у них общая аппаратная база но разные прошивки. Вместе с HOWLERMONKEY FIREWALK может пассивно слушать или инжектировать Ethernet-трафик на встроенной в материнскую плату сетевой карте. Дистанционно управляемый по скрытому радиоканалу сетевой сниффер с возможностью скрытной инъекции пользовательских пакетов.

Встраиваемые системы

TRINITY, MAESTRO-II, JUNIORMINT

Просматривая эти страницы каталога, мне приходилось все время напоминать себе, что это 2008 год. Видя полноценные компьютеры (и даже с FPGA логикой!) размером с монетку 50 копеек, сложно убедить себя, что это не выдумка голливудских режиссеров. 
На борту у такой крохи может прятаться 400 MHz ARM 9 (2008 год!!!), 32Мб флешпамяти под прошивку (с возможностью расширения), 64Мб оперативной памяти и модуль FPGA+128Mb DDR2. 
Вот для чего нужна программируемая логика и так много быстрой памяти я не очень представляю. Возможно для шифрования/дешифрования, кодирования звука/видео, архивирования и так далее. По всей видимости, логику работы FPGA модуля закладка умеет менять сама исходя из текущих потребностей. 
Все системы имеют широкий набор различных портов ввода/вывода и используются, по всей видимости, для создания других "умных" закладок. Например, эти системы можно "подружить" с радиопередатчиком HOWLERMONKEY для организации ячеистой сети.
 
В результате мы имеем очень маленькую и очень универсальную плату, которую можно встроить/впаять почти во все что угодно: в материнскую плату, телефон, маршрутизатор и т.д.
Единственное, что ограничивает их массовое распространение, это цена: несколько тысяч долларов за штуку.

Проникновение в изолированные сети

NIGHTSTAND есть ни что иное, как очень чувствительный WiFi приемник с АНБшным аналогом Kali linux. Собственно самое интересное в этом устройстве - это его мощность и чувствительность. По заверениям АНБ, он способен работать на расстоянии до 13 км от цели (!), но это в идеальных условиях.


SOMBERKNAVE - это программная закладка для Windows XP (2008 год!), позволяющая АНБ задействовать вашу wifi карту когда вы ей не пользуетесь. Если в вашем компьютере/ноутбуке есть wifi, то даже если вы полностью отключены от любой сети, АНБ может управлять вашим компьютером с расстояния до 13 километров с помощью комплекса NIGHTSTAND.
Это один из способов добраться до автономных систем - с одной стороны чувствительный приёмник, с другой стороны - закладка, которая скрытно задействует маломощную штатную wifi карту. 


GINSU, BULLDOZER
Описание закладки BULLDOZER в Сноуденовском каталоге отсутствует. Но по картинке в описании GINSU можно догадаться, что Бульдозер - аппаратная закладка, которая с помощью PCI шины может быть использована для передачи радиосигнала на большие расстояния. Совсем не обязательно, что Бульдозер будет вставляться в PCI слот, так как подсоединится к шине можно и на уровне чипсета (встроенная в чипсет закладка?). 
Так как шина PCI имеет 12 вольтовые линии и по спецификации может потреблять до 75 Вт, то мощности должно вполне хватить для организации канала связи с радиусом от нескольких сот метров до километров (с использованием, к примеру, NIGHTSTAND).

Вывод

К счастью, все указанное выше оборудование стоит по нескольку тысяч долларов за штуку. К несчастью, бюджет АНБ вполне позволяет закупать такие устройства партиями "от 100 штук".
Шпионит ли АНБ (или союзные спецслужбы, или клиенты компаний, снабжающих АНБ) за коммерческими компаниями с целью промышленного шпионажа? Да, шпионит

Что еще почитать?

Комментариев нет:

Отправить комментарий