Опубликован инструмент ЦРУ для сокрытия настоящего источника атак

Опубликован инструмент ЦРУ для сокрытия настоящего источника атак

Marble Framework позволял выдавать атаки ЦРУ за атаки «русских хакеров».

В пятницу, 31 марта, портал WikiLeaks опубликовал третью часть секретных документов ЦРУ. Утечка получила название Marble и проливает свет на используемые ЦРУ США методы сокрытия своей активности в киберпространстве и маскировки настоящего источника хакерских атак.

Третья серия обнародованных документов содержит 676 файлов исходного кода секретного инструмента для обхода криминалистической экспертизы Marble Framework. Инструмент представляет собой обфускатор или упаковщик для сокрытия истинного происхождения используемого ЦРУ вредоносного ПО.

Marble Framework содержит ряд различных алгоритмов, с умышленно добавленными в исходный код иностранными словами. Текст на иностранном языке должен сбить с толку криминалистов и направить их по ложному следу. С помощью инструмента ЦРУ могло выдавать свои атаки за атаки русских хакеров, северокорейских и пр.

В утекших файлах исходного кода встречаются слова на китайском, русском, корейском, арабском языках, на фарси и на английском. Как поясняет WikiLeaks, к примеру, ЦРУ хотело показать, будто родным языком автора вредоносного ПО является не английский, а китайский. Тем не менее, управление делало вид, будто китаец пытался скрыть свой родной язык, замаскировавшись под кого-то другого.

Исходный код Marble Framework также содержит деобфускатор для обратной обфускации. По данным WikiLeaks, инструмент используется с 2016 года, однако откуда у организации такая информация, неизвестно.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!