Вадим Гребенников - Радиоразведка Америки. Перехват информации

Аппаратной закладкой является скрытое техническое приспособление, своего рода «жучок», который позволяет получить доступ к цели или сведения о ней. Под программной закладкой понимаются скрытые программы, позволяющие получить доступ к цели программным способом, как, например, при помощи «троянских коней» и «бэкдоров» (англ. back door — черный ход).

«GINSU» — техника, позволяющая восстановить программную закладку под названием «KONGUR» на целевых системах с аппаратной закладкой «BULLDOZZER» на «PCI» — шине. Например, в случае обновления или переустановки операционной системы (далее — ОС) на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением «Windows» до версии «Vista».

«IRATEMONK» позволяет обеспечить присутствие программного обеспечения (далее — ПО) для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения «MBR». Метод работает на различных дисках «Western Digital», «Seagate», «Maxtor» и «Samsung». Из файловых систем поддерживаются «FAT», «NTFS», «EXT3» и «UFS». Системы с «RAID» не поддерживаются. После внедрения «IRATEMONK» будет запускать свою функциональную часть при каждом включении целевого компьютера.

«SWAP» позволяет обеспечить присутствие ПО для шпионажа за счет использования «BIOS» материнской платы и «HPA» области жесткого диска путем исполнения кода до запуска ОС. Данная закладка позволяет получить удаленный доступ к различным ОС («Windows», «FreeBSD», «Linux», «Solaris») c различными файловыми системами («FAT32», «NTFS», «EXT2», «EXT3», «UFS 1.0»). Для установки используются 2 утилиты: «ARKSTREAM» перепрошивает «BIOS», а «TWISTEDKILT» записывает в «HPA» область диска «SWAP» и его функциональная часть.

«WISTFULTOLL» — это плагин к программам «UNITEDRAKE» и «STRAITBIZZARE» для сбора информации на целевой системе, использует вызовы «WMI» и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на «USB» — накопитель.

«SOMBERKNAVE» — программная закладка, работающая под «Windows XP» и предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные «Wi-Fi» адаптеры, в случае, когда пользователь задействовал адаптер «SOMBERKNAVE», прекращает передачу данных.

«HOWLERMONKEY» представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.

«JUNIORMINT» — миниатюрная аппаратная закладка на базе «ARM» — системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор «ARM9» 400 MГц, флеш 32 MБ, «SDRAM» 64 MБ, ПЛИС «Vertex4/5», оснащенная 128 MБ «DDR2».

«MAESTRO-II» миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Характеристики довольно скромные: процессор «ARM7» 66 MГц, оперативная память 8 MБ, флеш 4 MБ.

«TRINITY» — миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Обладает следующими характеристиками: процессор «ARM9» 180 MГц, оперативная память 96 MБ, флеш 4 MБ. Используется в составе других устройств.

«COTTONMOUTH-I» аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими «СOTTONMOUTH».

В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Существует версия под названием «MOCCASIN», представляющая собой закладку в коннекторе «USB» — клавиатуры.

«COTTONMOUTH-II» — аппаратная «USB» — закладка, которая предоставляет скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый «USB» — коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.

«COTTONMOUTH-III» — аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Представляет собой блок разъемов, устанавливаемых на шасси, и может взаимодействовать с другими «COTTONMOUTH» установленными на этом же шасси.

«FIREWALK» — аппаратная сетевая закладка, способная пассивно собирать трафик сети «Gigabit Ethernet», а также осуществлять активные инъекции в «Ethernet» пакеты целевой сети. Позволяет создавать «VPN» туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими «HOWLERMONKEY» — совместимыми устройствами.

Исполнение данной закладки аналогично «COTTONMOUTH-III», такой же блок разъемов на шасси. В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY».

«SURLYSPAWN» — аппаратная закладка (кейлоггер), которая позволяет получить по радиоканалу данные от цели (клавиатура, низкоскоростные цифровые устройства). Данные передаются в отраженном сигнале, для активации необходимо облучение закладки радиосигналом от специализированного излучателя. Кейлоггер совместим с «USB» и «PS/2» клавиатурами, в дальнейшем планируется добавление совместимости с клавиатурами ноутбуков.

«RAGEMASTER» — аппаратная закладка, позволяющая перехватить сигнал от «VGA» монитора. Закладка прячется в обычный «VGA» — кабель, соединяющий видеокарту и монитор, как правило, в феррите на видеокабеле. Реализован захват сигнала с красного цветового канала. Представляет собой пассивный отражатель, т. е. активируется при облучении радиосигналом от специализированного излучателя.

Роутеры (маршрутизаторы) — это специальные компьютеры, которые предназначены для подключения к внутренней сети компании или внешней сети, а также для передачи и обработки интернет-трафика. Согласно каталогу «АНТ» подразделение АНБ имеет среди его предложений закладки для использования в профессиональных роутерах, выпущенных, по крайней мере, компаниями «Juniper» и «Huawei».

Закладки устанавливаются в «BIOS» на самом низком уровне ПО в каждом устройстве. Это гарантирует, что другие дополнительные вредоносные программы также могут быть установлены, даже если компьютер перезагружается или установлена новая ОС. Модели роутеров, которые представлены в каталоге ANT, предназначены для использования малого, среднего и крупного бизнеса, а также для центров обработки данных провайдеров интернет и мобильных операторов телефонных услуг.