Опубликовано руководство пользователя ЦРУ по удалённой прослушке телевизоров Samsung

Представитель хищной расы Плачущих ангелов

Поклонники научно-фантастического сериала «Доктор Кто» прекрасно помнят инопланетную расу хищников Плачущие ангелы (Weeping Angels). Это персонажи эпизода «Не моргай» — десятого эпизода третьего сезона (2007) и одного из лучших эпизодов в истории «Доктора Кто».

С точки зрения постороннего наблюдателя Ангелы выглядят как каменные статуи, у которых глаза часто закрыты ладонями. Но если вы моргнёте, глядя на Ангела, то сразу заметите неуловимое изменение положение статуи — она как будто стала ближе. И не дай бог надолго отвести взгляд.



Если отвести взгляд, то Плачущий ангел приблизится вплотную. Дело в том, что эти инопланетяне передвигаются только тогда, когда на них никто не смотрит, даже если просто моргнуть. В каком-то смысле они похожи на персонажа греческих мифов горгону Медузу, которая заставляла окаменеть каждого, кто на неё взглянет. Только здесь этот принц��п действует наоборот.


Горгона Медуза, одна из трёх сестёр горгон (картина Караваджо). По легенде, это была девушка с красивыми волосами, но бог Посейдон овладел ею в храме Афины, где невинная красавица пыталась спрятаться от преследования бога. В отместку за святотатство в своём храме Афина превратила её волосы в гидр

Греческая мифология и современная научная фантастика удивительным образом сочетаются в недрах секретных лабораторий ЦРУ и MI5, где разрабатывается программное обеспечение для нужд внешней разведки. Обожающие современную поп-культуру программисты ЦРУ, конечно же, смотрели «Доктора Кто», и ту серию с Плачущими ангелами. Именно поэтому они дали такое назвали закладке для телевизоров Samsung. Телевизоров, которые следят за зрителями — это такие маленькие Weeping Angels, плачущие ангелы, попробуй только моргнуть или сболтнуть лишнее.

7 марта 2017 года сайт Wikileaks начал публикацию коллекции Vault 7 секретных документов Центрального разведывательного управления США. Первая часть коллекции Year Zero содержит 8761 файл, в том числе список разнообразных зловредов, вирусов, троянов, десятков 0day-эксплойтов и полезной нагрузки для них, систем удалённого управления и соответствующую документацию.

В опубликованной подборке была документация на закладку Weeping Angel для телевизоров Samsung со встроенными микрофонами и включенной функцией распознавания речи (голосового управления). Это вредоносное ПО создано подразделением ЦРУ по разработке для встроенных систем Embedded Development Branch (EDB) совместно с британской разведкой MI5/BTSS. Программа добавляет телевизору режим 'Fake-Off', когда телевизор выглядит выключенным, но в то же время записывает разговоры в комнате и отправляет их на веб-сервер ЦРУ.

21 апреля 2017 году Wikileaks опубликовал новую информацию по закладке Weeping Angel — подробное руководство пользователя для агентов ЦРУ. Документ датирован 28 февраля 2014 года (pdf). В технической документации инструмент называется EXTENDING. Как пишет Wikileaks, это оригинальная версия закладки, созданная в британской разведке MI5/BTSS и усовершенствованная в ЦРУ. Коллеги из Великобритании и США координировали свою работу над этим инструментом и делились опытом, организуя Joint Development Workshops — семинары по совместной разработке.

На трёх десятках страниц руководства пользователя изложено следующее:

• ключевые функции закладки EXTENDING;
• конфигурация зловреда: в комплект поставки входит образ Ubuntu 12.10 ISO для создания виртуальной машины Linux, где происходит генерация зашифрованных файлов с настройками (Windows-инсталлятор Oracle VM Virtual Box позволяет установить среду для запуска этой виртуальной машины Ubuntu VM) — генерация конфигурации должна осуществляться только на защищённом, отключенном от интернета компьютере; присутствует ещё скрипт wlan.bat для конфигурации виртуального адаптера Hosted Network Virtual Adapter на ноутбуке;
• процесс установки;
• совместимость с моделями телевизоров Samsung;
• процесс установки веб-сервера для получения информации с телевизора — веб-сервер устанавливается с помощью Windows-инсталлятора XAMPP, есть также Android веб-сервер PAW Server, в комплект поставки входит файл .apk и сконфигурированная папка PAW2;
  
  
  
  
  
  
• обработка аудиоданных, записанных через встроенный микрофон, с помощью Windows-программы ECDLive.exe;
• процедура удаления закладки с телевизора (в изначальной конфигурации задаётся «дата смерти» закладки);
• тестирование и возможные проблемы эксплуатации;
• известные проблемы и ограничения закладки;
• расшифровка кодов ошибок (приложение А).

В документе указано, что программа предназначена для моделей Samsung F Series (прошивки 1111, 1112 и 1116), а предварительная конфигурация зловреда осуществляется на персональном компьютере под Linux. Установка на телевизор осуществляется с помощью USB-флешки. Программа может работать в трёх режимах: 1) постоянная аудиозапись; 2) аудиозапись только в режиме выключенного телевизора; 3) аудиозапись только в режиме включенного телевизора.

Как видно из документации, записанные аудиофайлы с телевизора передаются не через интернет, а по WiFi — на ноутбук или Android-смартфон, размещённый неподалёку. Уже он может быть подключен к интернету, через него можно получить архив записанных файлов или производить прослушку в реальном времени. Вероятно, такая закладка лучше всего подходит для установки на «публичные» телевизоры, которые располагаются в офисных зданиях, фойе гостиниц, кафетериях, парикмахерских и т. д.

Сами файлы вредоносного ПО из архива Vault 7 обещают опубликовать после проверки и закрытия уязвимостей со стороны производителей.

P.S. Сейчас ЦРУ и ФБР ведут совместное расследование, чтобы установить сотрудника, причастного к утечке документов. Удивительно, что за 1,5 месяца вычислить его не удалось.