![image](http://habr.habrastorage.org/post_images/3e7/26a/d56/3e726ad5614b3cf604fa06554e9f21b2.jpg)
«Оригиналы» документов с описанием шпионских техник спрятаны под спойлеры. Названия технологий обозначаются заглавными буквами, однако не для всех упомянутых технологий в текстах слайдов имеется описание. Аппаратной закладкой является скрытое техническое приспособление, своего рода жучёк, который позволяет получить доступ к цели или сведения о ней. Под программной закладкой понимаются скрытые программы позволяющие получить доступ к цели программным способом, как, например, при помощи троянских коней и бэкдоров.
Компьютеры
GINSU — техника позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista.
![image](http://habr.habrastorage.org/post_images/ded/67b/7ce/ded67b7ce0cc9cade841f07aa79c15e7.jpg)
IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, EXT3 и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональная часть при каждом включении целевого компьютера.
![image](http://habr.habrastorage.org/post_images/20b/54d/280/20b54d280582e8985003b7c5a65036c5.jpg)
SWAP позволяет обеспечить присутствие программного обеспечения для шпионажа за счет использования BIOS материнской платы и HPA области жесткого диска путем исполнения кода до запуска операционной системы. Данная закладка позволяет получить удаленный доступ к различным операционным системам(Windows, FreeBSD, Linux, Solaris) c различными файловыми системами(FAT32, NTFS, EXT2, EXT3, UFS 1.0). Для установки используются две утилиты: ARKSTREAM перепрошивает BIOS, TWISTEDKILT записывает в HPA область диска SWAP и его функциональная часть.
![image](http://habr.habrastorage.org/post_images/41b/036/80d/41b03680d4ce1a2551306d9f85b53a91.jpg)
WISTFULTOLL — это плагин к программам UNITEDRAKE и STRAITBIZZARE для сбора информации на целевой системе, использует вызовы WMI и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на USB-накопитель.
![image](http://habr.habrastorage.org/post_images/f9d/44c/663/f9d44c663e6fada0d708982cdefbf294.jpg)
HOWLERMONKEY представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.
![image](http://habr.habrastorage.org/post_images/856/dee/54a/856dee54aae658f61ff904293f77eec6.jpg)
JUNIORMINT миниатюрная аппаратная закладка на базе ARM-системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор ARM9 400MHz, флеш 32MB, SDRAM 64MB, ПЛИС Vertex4/5 оснащенная 128MB DDR2.
![image](http://habr.habrastorage.org/post_images/4e7/d79/600/4e7d79600c2825a58c0b5aa15e12fa11.jpg)
MAESTRO-II миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Характеристики довольно скромные: процессор ARM7 66MHz, оперативная память 8MB, флеш 4MB.
![image](http://habr.habrastorage.org/post_images/b42/322/122/b42322122a62a46cfcfc54d79996a7ea.jpg)
SOMBERKNAVE программная закладка работающая под Windows XP предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные Wi-Fi адаптеры, в случае, когда пользователь задействовал адаптер SOMBERKNAVE преращает передачу данных.
![image](http://habr.habrastorage.org/post_images/618/d15/514/618d155144597bf6fd0ed13470cf7b68.jpg)
TRINITY миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Обладает следующими характеристиками: процессор ARM9 180MHz, оперативная память 96MB, флеш 4MB. Используется в составе других устройств.
![image](http://habr.habrastorage.org/post_images/3a2/3a9/758/3a23a97586a93be44fca9bd50f886d6c.jpg)
COTTONMOUTH-I аппаратная закладка на USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими СOTTONMOUTH. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Существует версия под названием MOCCASIN, представляющая собой закладку в коннекторе USB-клавиатуры.
![image](http://habr.habrastorage.org/post_images/e95/069/9c7/e950699c7c719c183d0b81c07d5ff6cf.jpg)
COTTONMOUTH-II аппаратная USB-закладка предоставляющая скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый USB-коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.
![image](http://habr.habrastorage.org/post_images/d8c/af4/11c/d8caf411c4454e1909b3025441e3485f.jpg)
COTTONMOUTH-III аппаратная закладка в USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Представляет собой блок разъемов(RJ45 и два USB) устанавливаемых на шасси, может взаимодействовать с другими COTTONMOUTH установленными на этом же шасси.
![image](http://habr.habrastorage.org/post_images/d26/f05/b61/d26f05b617fc25b715854c4c400c38ce.jpg)
FIREWALK аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные инъекции в Ethernet пакеты целевой сети. Позволяет создавать VPN туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH-III, такой же блок разъемов(RJ45 и два USB) на шасси. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY.
![image](http://habr.habrastorage.org/post_images/535/d51/0ff/535d510ff875c2bf5350923b0f88ba9a.jpg)
SURLYSPAWN — аппаратная закладка(кейлоггер), позволяющая получить по радиоканалу данные от цели(клавиатура, низкоскоростные цифровые устройства). Данные передаются в отраженном сигнале, для активации необходимо облучение закладки радиосигналом от специализированного излучателя. Кейлоггер совместим с USB и PS/2 клавиатурами, в дальнейшем планируется добавление совместимости с клавиатурами ноутбуков.
![image](http://habr.habrastorage.org/post_images/3a3/200/2b5/3a32002b5f035b79e16680996c6b045f.jpg)
RAGEMASTER — аппаратная закладка позволяющая перехватить сигнал от VGA монитора. Закладка прячется в обычный VGA-кабель соединяющий видеокарту и монитор, установлена, как правило, в феррит на видеокабеле. Реализован захват сигнала с красного цветового канала. Представляет собой пассивный отражатель, т.е. активируется при облучении радиосигналом от специализированного излучателя.
![image](http://habr.habrastorage.org/post_images/b64/eb8/720/b64eb87205fa68f1eeacf618752a9560.jpg)
Сети Wi-Fi
NIGHTSTAND мобильный комплекс для проведения ативных атак на Wi-Fi сети, целями являются машины под управлением Windows (от Win2k до WinXP SP2). Обычно используется в операциях, в которых доступ к цели не возможен. Комплекс реализован на базе ноутбука под управлением Linux и радиооборудования. Вместе с внешними усилителями и антеннами дальность действия может достигать 13 км.
![image](http://habr.habrastorage.org/post_images/aca/f1c/f67/acaf1cf6719729b34a234260ce70a1bf.jpg)
SPARROW II встраиваемая компьютерная система под управлением Linux. Это полностью функциональная система для сбора данных о беспроводных сетях. Для расширения функционала имеет четыре встроенных Mini PCI слота позволяющие подключить GPS-модуль и дополнительные беспроводные сетевые карты.
![image](http://habr.habrastorage.org/post_images/574/3b7/73a/5743b773a44fa3e988da913456695b4d.jpg)
Серверы
IRONCHEF обеспечивает доступ к целевым системам при помощи BIOS материнской платы и использования SMM-режима для связи с аппаратной закладкой предоставляющей двухстороннюю радиосвязь. По всей видимости, такая закладка должна быть установлена на шасси системы, наподобие COTTONMOUTH-II. Для этой технику уязвимы серверы HP Proliant 380DL G5.
![image](http://habr.habrastorage.org/post_images/97c/587/7b9/97c5877b9cf0aff37ef3733190e6b4d2.jpg)
DEITYBOUNCE предоставляет программный доступ к серверам Dell PowerEdge при помощи BIOS материнской платы и использования SMM-режима для получения возможности запуска перед загрузкой системы. Установка может быть произведена при помощи ARKSTREAM, либо при помощи USB-флеш. После установки будет выполняться каждый раз при включении системы. Целями могут являться Dell PowerEdge 1850/2850/1950/2950 с версиями BIOS А02, A05, A06, 1.1.0, 1.2.0 или 1.3.7.
![image](http://habr.habrastorage.org/post_images/8c2/944/961/8c2944961fed88364ddfa9fd0da0492f.jpg)
Сетевое оборудование
JETPLOW — это закладка для прошивки Cisco PIX и ASA (Adaptive Security Appliance) файрволов. Сохраняет программную закладку BANANAGLEE и содержит бэкдор. JETPLOW способен работать на файрволах Cisco PIX 500-й серии и ASA(5505, 5510, 5520, 5540, 5550)
![image](http://habr.habrastorage.org/post_images/463/4ac/505/4634ac5059bbdb57a4b10842a716d830.jpg)
HALLUXWATER — это бэкдор устанавливаемый в качестве обновления загрузчика в файрволы Huawei Eudemon. При перезагрузке цели установщик закладки находит необходимые точки для патча и бекдора в подпрограмме обработки входящих пакетов. Данный бэкдор сохраняется при обновлении операционной системы и автоматических обновлениях загрузчика. HALLUXWATER может работать на файрволах Huawei Eudemon 200, 500 и 1000 серии.
![image](http://habr.habrastorage.org/post_images/33c/0df/9b3/33c0df9b33726cb50aaa67ce53a6f21c.jpg)
FEEDTROUGH представляет собой технику установки двух программных закладок BANANAGLEE и ZESTYLEAK используемых против файрволов Juniper Netscreen. Подвержены угрозе следующие модели Juniper: ns5xt, ns25, ns50, ns200, ns500 и ISG 1000. Метод отрабатывается при старте файрвола, если операционная система есть в базе данных, то устанавливаются закладки, в противном случае устройство загружается в обычном режиме. FEEDTROUGH сохраняется при обновлении операционной системы файрвола.
![image](http://habr.habrastorage.org/post_images/367/907/357/367907357b31a6731c2da54b140cea9c.jpg)
GOURMETTROUGH закладка для некоторых моделей Juniper, имеет возможностью пользовательской настройки. Она скрывает закладку BANANAGLEE и позволяет ее сохранить после перезагрузки или обновления ОС.
![image](http://habr.habrastorage.org/post_images/eae/baf/372/eaebaf372ae0e3e152207faccd67063a.jpg)
SOUFFLETROUGH закладка для BIOS файрволов Juniper SSG 500 и SSG 300 серий. Она скрывает закладку BANANAGLEE, в случае, если устройство не поддерживает добавление BANANAGLEE, открывает бэкдор. Возможны удаленное обновление и установка SOUFFLETROUGH.
![image](http://habr.habrastorage.org/post_images/548/cf8/910/548cf8910d6345122a394276445b86ef.jpg)
SCHOOLMONTANA обеспечивает присутствие сетевых закладок. Позволяет сохраниться закладке при обновлении и замене операционной системы, в том числе и при физической замене флеш карты роутера. Основной вектор атаки направлен на модификацию BIOS. Нацелена на роутеры Juniper J-серии под управлением операционной системой JUNOS. По сути, это бэкдор разработанный для использования под FreeBSD.
![image](http://habr.habrastorage.org/post_images/eda/b35/fd2/edab35fd20058718e5696b0bfbce73b8.jpg)
SIERRAMONTANA обеспечивает присутствие сетевых закладок в роутерах Juniper М-серии. Возможности аналогичны SCHOOLMONTANA.
![image](http://habr.habrastorage.org/post_images/d83/69e/3df/d8369e3df036d280ad6abcce0c50fc7f.jpg)
STUCCOMONTANA обеспечивает присутствие сетевых закладок в роутерах Juniper T-серии. Возможности аналогичны SCHOOLMONTANA.
![image](http://habr.habrastorage.org/post_images/585/6bd/931/5856bd9319b56643a34db7179b5f7f5d.jpg)
HEADWATER — бэкдор для некоторых моделей роутеров Huawei. Бэкдор устанавливается при обновлении загрузчика. Общая схема работы аналогична другим закладкам для сетевого оборудования.
![image](http://habr.habrastorage.org/post_images/b7e/923/1a9/b7e9231a9f6f8e098a2f14158310ee0f.jpg)
Сети GSM
CROSSBEAM — закладка в виде GSM модуля на основе встраиваемого компьютера. Может перехватывать и записывать данные передаваемые в GSM-сетях.
![image](http://habr.habrastorage.org/post_images/d76/a26/a60/d76a26a6049081a3f668e9198506aef1.jpg)
CANDYGRAM — эмулятор базовой станций GSM (900, 1800, 1900), предназначенный для отслеживания расположения сотового телефона цели. Каждый раз, когда телефон цели входит в зону действия базовой станции CANDYGRAM, система посылает СМС через внешний канал на телефон наблюдателя.
![image](http://habr.habrastorage.org/post_images/f96/001/b36/f96001b36437bb32a3b16924b474c4bc.jpg)
CYCLONE Hx9 — эмулятор базовой станций GSM, предназначенный для проведения атак на мобильные телефоны стандарт GSM 900. Позволяет осуществлять прослушивание и перехват передаваемых данных. Дальность до 32 километров.
![image](http://habr.habrastorage.org/post_images/950/5ab/014/9505ab0149756839a43435c190f803fe.jpg)
EBSR — многоцелевая трехдиапазонный активная базовая станция GSM, с низким энергопотреблением (1 Вт). Предназначена для прослушивания и перехвата передаваемых данных. Возможно объединение в макросеть нескольких таких устройств.
![image](http://habr.habrastorage.org/post_images/01c/08c/9a4/01c08c9a43b94797a7b655007b4bfcd2.jpg)
ENTOURAGE — устройство для пеленгации сигналов от мобильных телефонов стандартов GSM/UMTS/CDMA2000/FRS. Для его использования необходимы антенна нужного диапазона и ноутбук(для управления).
![image](http://habr.habrastorage.org/post_images/657/6b5/352/6576b5352fc4a241b5ea80acecc24b67.jpg)
GENESIS — устройство для радиоэлектронной разведки на основе модифицированного сотового телефона стандарта GSM. Предназначено для поиска и анализа сотовых сетей, а также определения расположения телефонов целей. Имеет возможность записи радиочастотного спектра во внутреннюю память, объем которой составляет 16GB.
![image](http://habr.habrastorage.org/post_images/e3c/baf/7bb/e3cbaf7bba62972b946f750153e68e56.jpg)
NEBULA — портативная базовая станция для сетей GSM, UMTS, CDMA2000. Позволяет проводить перехват голоса и данных.
![image](http://habr.habrastorage.org/post_images/10b/c1c/983/10bc1c983045f8846102f4523c76f6e1.jpg)
TYPHON HX — портативная базовая станция для сетей GSM (850/900/1800/1900). Имеет полную поддержку протокола GSM и управления вызовами. Тактический элемент радиоэлектронной разведки.
![image](http://habr.habrastorage.org/post_images/225/8ba/c92/2258bac921ec89ca2efdc0273bfcde45.jpg)
WATERWITCH — портативный прибор для определения координат целевых телефонов в радиусе действия.
![image](http://habr.habrastorage.org/post_images/bc1/474/f88/bc1474f88b1d730b9feab772063658b5.jpg)
DROPOUTJEEP — программная закладка для Apple iPhone iOS прозволяет получить удаленный доступ к телефону посредством SMS или GPRS-подключения. Для установки бекдора нужен физический доступ к устройству, возможность удаленной установки запланирована в следующих релизах.
![image](http://habr.habrastorage.org/post_images/838/18d/04d/83818d04d03e6bc8c51440e85eda38fd.jpg)
GOPHERSET — программная закладка для SIM-карт GSM. Позволяет отправить телефонную книгу, SMS и информацию о вызовах телефона цели на предопределенный номер SMS. Загрузка на карту возможна либо через USB, либо по воздуху. В обоих случаях для установки могут потребоваться ключи для доступа к SIM-карте используемые оператором сотовой связи.
![image](http://habr.habrastorage.org/post_images/792/fdf/b5b/792fdfb5b4af7ef7771b3167f8e02a4b.jpg)
MONKEYCALENDAR- программная закладка для SIM-карт GSM. Отправляет в зашифрованном виде координаты телефона цели на предопределенный номер SMS. Технология установки аналогична GOPHERSET.
![image](http://habr.habrastorage.org/post_images/92b/47c/04f/92b47c04f767451849cf129d7c1fe271.jpg)
PICASSO- модифицированный телефон стандарта GSM предназначенный для сбора пользовательских данных, записи звука в помещении и отслеживания(по данных о базовых станциях). Управление и передача данных осуществляется посредством SMS.
![image](http://habr.habrastorage.org/post_images/fa4/d6d/f21/fa4d6df216ac3eeccb6da1eb8dabe178.jpg)
TOTECHASER — программная закладка(под Windows CE) для двухдиапазонного(спутник и GSM) телефона Thuraya 2520. Позволяет получить пользовательские данные от телефона цели через скрытые SMS через спутниковый или GSM канал.
![image](http://habr.habrastorage.org/post_images/479/a90/3d8/479a903d8e7f050e8c72909b3f3c3472.jpg)
TOTEGHOSTLY 2.0 — программная закладка для операционной системы Windows Mobile. Обладает богатым функционалом и позволяет получить полный доступ к телефону. Управление возможно как посредством SMS так и через GPRS-соединение.
![image](http://habr.habrastorage.org/post_images/515/94b/8bb/51594b8bb42f18c2fc81945732f6deeb.jpg)
Оборудование для работы в помещении
CTX4000 представляет собой портативный излучатель непрерывного действия, предназначен для подсвета целевых систем для получения данных от установленных там закладок. Предшественник PHOTOANGLO.
![image](http://habr.habrastorage.org/post_images/977/2e6/bdb/9772e6bdb7186a5a7a8db7a6c9d48dc7.jpg)
LOUDAUTO — аппаратная закладка. Срабатывает «жучек» при облучении специальным сигналом, передавая в отраженном радиосигнале звук из помещения, в котором он установлен.
![image](http://habr.habrastorage.org/post_images/8ea/1b7/93e/8ea1b793efef48bd53902c0201bf0999.jpg)
NIGTHWATCH — система на базе портативного компьютера предназначенная для обработки сигналов от монитора цели. Сигнал может поступать как от систем сбора информации(например, от CTX4000 или PHOTOANGLO при подсвете закладки в видеокабеле RAGEMASTER), так и от приемника общего назначения.
![image](http://habr.habrastorage.org/post_images/e64/909/dc0/e64909dc043e4abbd020415be3f324c0.jpg)
PHOTOANGLO — улучшенный излучатель непрерывного действия, предназначен для подсвета целевых систем и получения данных от установленных там закладок. Более портативен, чем CTX4000.
![image](http://habr.habrastorage.org/post_images/208/13d/c71/20813dc71c00f19e3ff575a158169a6d.jpg)
TAWDRYYARD — миниатюрный радиомаяк, срабатывает при получении радиосигнала от специализированного излучателя. Используется для поиска мест установки других закладок, таких как, например, RAGEMASTER.
![image](http://habr.habrastorage.org/post_images/27d/f89/885/27df89885153a5d307dd1fdd2580a9e2.jpg)
По материалам FreeSnowden, LeakSource, Spiegel.
ссылка на оригинал статьи http://habrahabr.ru/post/209746/
Добавить комментарий