Вадим Гребенников - Радиоразведка Америки. Перехват информации

«GINSU» — техника, позволяющая восстановить программную закладку под названием «KONGUR» на целевых системах с аппаратной закладкой «BULLDOZZER» на «PCI» — шине. Например, в случае обновления или переустановки операционной системы (далее — ОС) на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением «Windows» до версии «Vista».

«IRATEMONK» позволяет обеспечить присутствие программного обеспечения (далее — ПО) для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения «MBR». Метод работает на различных дисках «Western Digital», «Seagate», «Maxtor» и «Samsung». Из файловых систем поддерживаются «FAT», «NTFS», «EXT3» и «UFS». Системы с «RAID» не поддерживаются. После внедрения «IRATEMONK» будет запускать свою функциональную часть при каждом включении целевого компьютера.

«SWAP» позволяет обеспечить присутствие ПО для шпионажа за счет использования «BIOS» материнской платы и «HPA» области жесткого диска путем исполнения кода до запуска ОС. Данная закладка позволяет получить удаленный доступ к различным ОС («Windows», «FreeBSD», «Linux», «Solaris») c различными файловыми системами («FAT32», «NTFS», «EXT2», «EXT3», «UFS 1.0»). Для установки используются 2 утилиты: «ARKSTREAM» перепрошивает «BIOS», а «TWISTEDKILT» записывает в «HPA» область диска «SWAP» и его функциональная часть.

«WISTFULTOLL» — это плагин к программам «UNITEDRAKE» и «STRAITBIZZARE» для сбора информации на целевой системе, использует вызовы «WMI» и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на «USB» — накопитель.

«SOMBERKNAVE» — программная закладка, работающая под «Windows XP» и предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные «Wi-Fi» адаптеры, в случае, когда пользователь задействовал адаптер «SOMBERKNAVE», прекращает передачу данных.

«HOWLERMONKEY» представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.

«JUNIORMINT» — миниатюрная аппаратная закладка на базе «ARM» — системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор «ARM9» 400 MГц, флеш 32 MБ, «SDRAM» 64 MБ, ПЛИС «Vertex4/5», оснащенная 128 MБ «DDR2».

«MAESTRO-II» миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Характеристики довольно скромные: процессор «ARM7» 66 MГц, оперативная память 8 MБ, флеш 4 MБ.

«TRINITY» — миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Обладает следующими характеристиками: процессор «ARM9» 180 MГц, оперативная память 96 MБ, флеш 4 MБ. Используется в составе других устройств.

«COTTONMOUTH-I» аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими «СOTTONMOUTH».

В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Существует версия под названием «MOCCASIN», представляющая собой закладку в коннекторе «USB» — клавиатуры.

«COTTONMOUTH-II» — аппаратная «USB» — закладка, которая предоставляет скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый «USB» — коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.

«COTTONMOUTH-III» — аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Представляет собой блок разъемов, устанавливаемых на шасси, и может взаимодействовать с другими «COTTONMOUTH» установленными на этом же шасси.

«FIREWALK» — аппаратная сетевая закладка, способная пассивно собирать трафик сети «Gigabit Ethernet», а также осуществлять активные инъекции в «Ethernet» пакеты целевой сети. Позволяет создавать «VPN» туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими «HOWLERMONKEY» — совместимыми устройствами.