Nur Kaspersky Anti-Virus blockiert das CIA-Dienstprogramm.

Published on August 05, 2017

Nur Kaspersky Anti-Virus blockiert das CIA-Dienstprogramm.

    Die Site WikiLeaks hat einen neuen Satz von CIA-Dokumenten aus der Vault 7-Sammlung veröffentlicht: Dieses Mal wird das Hacker-Tool Dumbo , das Kameras und Mikrofone auf einem Computer mit Microsoft Windows stören soll, freigegeben . Das Tool funktioniert mit Geräten, die direkt auf einem PC installiert sind, sowie drahtlos (Bluetooth, WiFi) oder über Kabel verbunden. Sie können ihre Arbeit unterbrechen oder den Datensatz löschen.

    Dumbo ist ein Hilfsprogramm für die Arbeit der CIA-Abteilung mit dem Namen PAG (Physical Access Group). Dieses Gerät ist an physischen Eingriffen, Hacks, normalen Operationen mit physischem Zugang zu Geräten usw. beteiligt. Wenn Sie beispielsweise in einem Apartment oder Büro Hörgeräte, Fehler an einem Computer, einem Fernseher, einem Telefon usw. installieren müssen. Die PAG ist eine spezielle Abteilung des Cyber ​​Intelligence Center CCI (Center for Cyber ​​Intelligence).

    Dumbo hilft, die Tatsache des physischen Eindringens zu verbergen, dh die Spuren zu verdecken. Im Allgemeinen ist dieses Programm nicht beeindruckend. Um arbeiten zu können, ist ein physischer Zugriff auf den Computer erforderlich.

    Ehrlich gesagt, ist es ein sehr spezialisiertes Werkzeug für eine bestimmte Anwendung im Betrieb von Spezialdiensten. Selbst wenn WikiLeaks Binärdateien, Treiber und andere Programmdateien offen zugänglich gemacht hätte, hätte kaum jemand einen praktischen Nutzen dafür gefunden. Bei dieser Gelegenheit wurde in der Bedienungsanleitung vom 6. Juli 2015 festgestellt, dass die Notwendigkeit, ein solches Werkzeug zu entwickeln, von den Nachrichtendiensten formuliert wurde (dazu gehören Vertreter der NSA, der CIA, des FBI und anderer Organisationen) und in Dokument 2015-OPS0001013 verankert ist. Ziel ist es, den Betrieb von Webcams auszusetzen und Videos zu löschen, die die Arbeit der PAG-Agenten beeinträchtigen könnten. Wenn nötig, haben qualifizierte Programmierer ein so einfaches "Werkzeug" auf Bestellung des Chefs angefertigt.

    Das Programm wird auf dem Computer des Opfers von einem USB-Flashlaufwerk mit SYSTEM-Berechtigungen ausgeführt. Die ausführbare Hauptdatei der Dumbo 3.0-Version heißt GUI.exe , die Folgendes enthält:

    • Scanner.sys- Treiber für 32-Bit-Windows XP;
    • ausführbare Datei wscupd.exe zum Erstellen eines blauen Bildschirms auf Computern unter 32-Bit-Windows;
    • ausführbare Datei wermgr.exe , um auf Computern unter 64-Bit-Windows einen blauen Bildschirm zu erstellen.

    Das Tool funktioniert unter 32-Bit-Versionen von Windows XP, Windows Vista und neueren Windows-Versionen. Gleichzeitig werden 64-Bit-Versionen von Windows XP und älteren Versionen von Windows nicht unterstützt.

    Die Programmoberfläche ist sehr einfach. Der CIA-Agent fügt ein USB-Flashlaufwerk ein, startet cmd.exe und startet von dort aus GUI.exe , wobei ggf. ein Schlüssel hinzugefügt wird -n(trennen Sie nicht automatisch den Netzwerkadapter und Bluetooth auf dem Computer). Das Programm wird geladen und zeigt dann vier Optionen an:

    • Systeminformationen
    • Netzwerk
    • Kamera und Mikrofon
    • Beenden Sie die Optionen

    Der erste ist klar - dies sind Informationen über das System.

    Im Abschnitt "Netzwerk" wird eine Liste von Netzwerkadaptern angezeigt, der Anfangsstatus des Adapters (bevor Dumbo die Prozesse im System erfasst) und der aktuelle Status sowie der eingehende und ausgehende Datenverkehr. Von hier aus können Sie die Adapter deaktivieren oder in ihren ursprünglichen Zustand zurückversetzen.



    Die Hauptregisterkarte "Kamera und Mikrofon" enthält die Hauptfunktionen des Programms. Von hier aus erhält der Agent Zugriff auf die Verwaltungsoptionen für auf dem Computer ausgeführte Prozesse und auf die Dateitabelle mit Schreibberechtigung (und deren Status).



    Dementsprechend kann der Agent den Prozess unterbrechen / fortsetzen oder löschen. Es kann auf zwei Arten auf Dateien zugegriffen werden: entweder Schaden (mit zufälligen Daten füllen) oder beschädigen und löschen (mit zufälligen Daten füllen und dann löschen).

    Beenden Sie die Optionen - entweder durch einen Timer (danach kehrt das System in den Normalzustand zurück) oder durch einen blauen Bildschirm. Es wird angenommen, dass das Opfer zum Computer zurückkehrt, den blauen Bildschirm sieht und sich nicht wundert, dass das Überwachungssystem, die Webcam und das Mikrofon nichts darüber aufgezeichnet haben, was in seiner Abwesenheit passiert.



    Es gibt einen interessanten Punkt. In der Dumbo-Benutzerdokumentation ist ein spezieller Artikel zu Kaspersky Anti-Virus registriert. Es wird darauf hingewiesen, dass dieser Antivirus die Installation des Treibers verhindert, der für den korrekten Betrieb von Dumbo unter Windows XP erforderlich ist.


    "Gute Arbeit, Kaspersky."

    WikiLeaks deklassiert weiterhin die Hacking-Tools der CIA. Die Gesamtzahl der Dokumente hat bereits 8700 Exemplare überschritten. Leider veröffentlicht Julian Assange immer noch nicht die Binärdateien von Exploits und Hacker-Programmen selbst, sondern beschränkt sich nur auf die Dokumentation.