WikiLeaks публикува документи за три инструмента на ЦРУ, които са използвани за пробив на машини с Linux и macOS.
Имената на инструментите са Aeris, Achilles и SeaPea, като Aeris е малуер за заразяване на Linux машини, а Achilles и SeaPea за машини с macOS.
– В документите относно инструмента за пробив на Linux машини, публикувани от WikiLeaks, се вижда, че Aeris 2.1 поддържа Linux платформите Red Hat Enterprise Linux 6 (i386), Red Hat Enterprise Linux 6 (amd64), Debian 7 (i386), Debian 7 (amd64), Debian 7 (ARM), FreeBSD 8 (i386), FreeBSD 8 (amd64), Solaris 11 (i386), Solaris 11 (SPARC), CentOS 5.3 (i386) и CentOS 5.7 (i386).
Aeris представлява автоматизирано решение за заразяване на Linux машини, написан на C, и поддържа различни функции като Collide-базирана HTTPS LP поддръжка, TLS криптирани комуникации, поддръжка на SMTP протокола, автоматична ексфилтрация на файлове, лесна инсталация и пр.
Този малуер се състои от комплект от Python инструменти, няколко бинарни файла, cgi/agnt.c HTTPS CGI LP сорс код, документация, builder.py Script и статично компилирана ELF32 HTTPS CGI програма.
Aeris няма отделен инсталатор. Атакуващият просто трябва да премести желания бинарен файл в директория по избор и да го прекръсти с някакво име.
Поради сложността и фрагментираността при Linux.базираните системи, Aeris не притежава механизъм, който да осигури това той да е стартиран постоянно. Поради тази причина атакуващият трябва да осигури такива механизми според конкретната ситуация.
Повече за Aeris можете да научите от този PDF документ.
– Изтеклите данни относно инструмента за пробив на macOS машини SeaPea 4.0 разкриват, че той може да крие файлове и директории на заразената машина, да стартира различни инструменти, да осъществява socket връзки.
В обяснението към него е описан процесът по компилиране на инсталатора му, където също така се вижда и че този малуер използва три категории за процесите си – Normal, Elite, и Super-Elite.
В нормалната категория процесите не биват скривани. Процесите от категория Елит са скрити от нормалните процеси, а също така и от другите „елитни“ процеси. В режим Супер-Елит процесите са скрити от „нормалните“ и „елитните“ процеси и те могат да виждат всички активни процеси без ограничения. Всички команди в SeaPea биват изпълнявани като „елитни“ процеси.
От ЦРУ дават изискване за версия на операционната система Mac OS X 10.6 (Snow Leopard) или Mac OS X 10.7 (Lion).
Повече подробности относно SeaPea можете да намерите в този PDF документ.
– Третият инструмент, който носи името Achilles 1.0, е използван от ЦРУ за инжектиране на троянци в инсталаторите на различни приложения за macOS, като атакуващият може да инжектира един или повече изпълними файлове.
Изискванията са за компютър с Intel Core 2 процесор и операционна система OS X 10.6. В ръководството е подчертано, че заразеният DMG файл трябва да се държи като оригинален и незаразен файл.
След като потребителят стартира заразеният файл, се появява прозорец, в който той трябва да завлачи приложението в директорията с приложения, което е нормалният начин за инсталация на програми при macOS.
Когато потребителят стартира приложението, то ще се стартира нормално и ще работи нормално, но с него ще се стартират и всички други инструменти, които са били инжектирани предварително. След това всички следи от Achilles биват изтривани по сигурен начин от „.app“.
Пълното ръководство за Achilles 1.0 можете да разгледате в този PDF документ.
Документите за Achilles и SeaPea имат сигнатура от 2011-а година.