Vault 7

WikiLeaks начал публикацию данных из этой утечки с серии загадочных твитов в начале февраля 2017 года^[10]. 16 февраля были опубликованы документы о наблюдениях ЦРУ за ходом выборов президента Франции в 2012 году^[11]. В пресс-релизе WikiLeaks сообщил, что эта информация опубликована как контекст для будущих серий «CIA Vault 7»^[12].

8 марта 2017 года сотрудники разведывательных и правоохранительных органов США сообщили международному новостному агентству Reuters о том, что они ещё в конце 2016 года знали о наличии уязвимостей в системе безопасности ЦРУ, которые и привели к этой утечке информации. Двое из них заявили, что самый вероятный источник утечки — это «подрядчики»^[13].

Пресс-секретарь ЦРУ отказался отвечать на вопрос о подлинности опубликованных электронных документов, заявив, что разведуправление «не комментирует подлинность или содержание так называемых „документов разведки“»^[5][14]. Однако вскоре после ЦРУ опубликовало заявление о том, что «американское общество должно быть крайне обеспокоено любыми разоблачениями Викиликса, устроенными для того, чтобы подорвать способность разведывательного сообщества защищать Америку от террористов и других врагов. Эти разоблачения не только ставят под угрозу служащих США и проводимые ими операции, но и вооружают наших противников информацией и инструментами, способными причинить нам вред»^[15].

В частном порядке действующие и бывшие сотрудники разведки анонимно сообщали, что опубликованные WikiLeaks документы выглядят подлинными^[16]; эту же версию поддержал бывший сотрудник и разоблачитель АНБ Эдвард Сноуден^[17]. Роберт Чесни (англ. Robert Chesney), профессор права Техасского университета, директор по технологиям и государственной политике Центра стратегических и международных исследований, связал «Vault 7» с хакерским инструментарием АНБ, раскрытом в 2016 году группой, называющей себя «The Shadow Brokers»^[5].

WikiLeaks утверждает, что документы были получены из «изолированной хорошо защищённой внутренней сети Центра кибернетической разведки ЦРУ в Лэнгли, штата Вирджиния»^[18]. Полученные сведения позволяют WikiLeaks частично выяснить структуру и организацию работы Центра киберразведки (ЦКР) (англ. Center for Cyber Intelligence (CCI)). Согласно им, целый отдел ЦКР занимается взломом программного обеспечения фирмы Apple^[17], а генеральное консульство США  (англ.) (рус. во Франкфурте-на-Майне используется в качестве базы для проведения киберопераций, и агенты ЦРУ могут въехать в Германию под видом технических консультантов по поддержке веб-сайта этого консульства^[17].

Первая серия документов, опубликованных WikiLeaks 7 марта 2017 года под условным названием «Нулевой год» (англ. Year Zero) раскрывает деятельность совершенно секретного подразделения американской разведки, базирующегося во Франкфурте-на-Майне и производящего кибератаки по целям в Европе, Китае и на Среднем Востоке. Американское генконсульство в северной части этого немецкого города известно как крупнейшее в мире дипломатическое представительство США — как по площади зданий, так и по численности персонала. Как следует из раскрытых документов, оно также играло важнейшую роль в проведении внешней разведки на протяжении многих лет, а также стало базой для проведения военно-кибернетических операций США. Там, в зданиях за высокими заборами с колючей проволокой, работают секретные сотрудники ЦРУ, АНБ, Секретной службы Министерства внутренней безопасности и военного ведомства. А за пределами территории консульства в радиусе около 40 километров американцы создали целую сеть «представительств» и подставных организаций. Американские хакеры во Франкфурте входят в состав Европейского центра кибернетической разведки (англ. Center for Cyber Intelligence Europe, CCIE), имеют дипломатические паспорта и другие документы, позволяющие им въехать в Германию без досмотра на таможне^[17][19].

8 марта 2017 года Генеральный прокурор при Верховном суде Германии Петер Франк объявил о том, что властями проводилось предварительное расследование и возможно проведение более тщательной проверки деятельности сотрудников этого консульства, особенно если выяснится, что жертвами кибератак ЦРУ могли быть жители Германии^[20][21]. Министр иностранных дел Германии Зигмар Габриэль по поводу «Нулевого года» сказал, что немецкие власти не располагали никакой информацией о таких кибератаках^[22].

Согласно опубликованным документам, ЦРУ собрало большую коллекцию методов осуществления кибератак и вредоносного программного обеспечения, разработанного в других странах, среди которых WikiLeaks особо выделяет Россию^[17]. Эта коллекция получила наименование «Umbrage»^[17][23]. По утверждению WikiLeaks, эти методы и программы используются ЦРУ, чтобы запутать расследование и замаскировать источники кибератак^[5], выдать свои кибератаки за чужие^[17]. Кевин Поулсен в The Daily Beast утверждает, что библиотека Umbrage не отсортирована по странам происхождения входящих в неё инструментов^[11]. Опубликованные WikiLeaks документы говорят скорее о том, что заимствование чужого программного кода проводилось с целью экономии на собственной разработке^[24].

Смартфоны

Как сообщается, уязвимы для таких методов взлома как iPhone компании Apple, так и устройства под управлением операционной системы Android, разрабатываемой компанией Google. Внедрив вредоносное программное обеспечение в ОС Android, ЦРУ может получить доступ к защищённым коммуникациям устройства^[25].

Apple утверждает, что «большинство уязвимостей, сведения о которых на сегодняшний день опубликованы, уже были устранены в последней версии iOS»^[26], и что компания «продолжит работу [в этом направлении], чтобы оперативно принимать меры по защите от любой выявленной уязвимости»^[27][28]. Директор по безопасности и конфиденциальности компании Google Хезер Адкинс (Heather Adkins) также заявила, что при обновлениях Android и Google Chrome раскрытые WikiLeaks уязвимости уже устранены, и что компания внимательно изучает эту информацию, чтобы защитить пользователей ПО от других возможных уязвимостей^[29][30][31].

Мессенджеры

По данным WikiLeaks, взломав телефон с Android, ЦРУ сможет перехватывать голосовой трафик и текстовые сообщения ещё до того, как они будут зашифрованы для передачи по сети^[5], а некоторые компьютерные программы ЦРУ могут получить доступ к сообщениям мессенджеров^[5]. При этом об успешном вскрытии уже зашифрованных сообщений пока что ничего не говорится^[25], как и о взломе сквозного шифрования мессенджеров Telegram, WhatsApp и Signal^ru_en; но такой взлом шифров не понадобится, если есть возможность перехватывать вводимые сообщения прямо на устройстве пользователя до их зашифровки^[25].

Системы управления транспортными средствами

В одном из опубликованных WikiLeaks документах есть сведения о том, что ЦРУ исследовало пути заражения компьютерными вирусами электронных систем управления транспортными средствами. WikiLeaks утверждает, что «не указано, для каких целей предполагалось осуществлять подобный перехват управления, но это могло бы дать ЦРУ возможность совершать практически нераскрываемые убийства»^[17][32]. Это вызвало новый интерес к загадочной автокатастрофе, в которой 18 июня 2013 года погиб писатель и журналист Майкл Хастингс^[32][33].

Умные телевизоры

Одна из программ под кодовым названием «Weeping Angel» позволяет использовать «умные телевизоры» компании Samsung как подслушивающие устройства; такой телевизор, заражённый вирусом, будет записывать разговоры в комнате и передавать их по интернету на сервер ЦРУ, даже если этот телевизор выглядит выключенным^[5].

Windows

В опубликованных документах говорится о наличии в Windows XP, Windows Vista и Windows 7 эксплоита — DLL-инъекции «Windows FAX»^[4].

WikiLeaks также опубликовала исходный код программы, выполняемой под Windows 7, которая, как там утверждается, позволяет атакующему обойти нормальный контроль учётных записей пользователей, незаметно для пользователя получить привилегии администратора операционной системы и с этими привилегиями выполнять любые действия на заражённом компьютере; при этом система не покажет окно с предупреждением о попытке запустить программу от имени администратора^[34].

UEFI

Опубликован пример исходного кода программы, которая, по утверждению WikiLeaks, использует уязвимость загрузчиков с поддержкой UEFI и позволяет подменить ядро загружаемой операционной системы до выполнения последовательности загрузки UEFI либо перехватить управление и выполнить любые машинные операции до начала загрузки ядра ОС в оперативную память^[35].

Ли Мэтью (Lee Mathews), корреспондент журнала Forbes, написал, что большинство технологий взлома, «раскрытых» в «Vault 7», и так уже были известны многим специалистам по кибербезопасности в разных странах мира^[36].

Эдвард Сноуден отметил важность этой публикации, раскрывающей, по его мнению, то, как власти США поступают крайне безответственно, намеренно оставляя уязвимости в системах защиты американских программ и устройств, и даже специально создавая такие уязвимости^[37].

9 марта 2017 года Джулиан Ассандж в пресс-релизе заявил, что WikiLeaks опубликовал только 1 % от всех материалов этой утечки, что в ещё нераскрытых материалах есть неустранённые уязвимости программного обеспечения, но он сотрудничал с Microsoft, Apple и Google, чтобы помочь устранению этих уязвимостей. Ассандж намерен опубликовать описания тех уязвимостей только после того, как они будут устранены при очередных обновлениях программного обеспечения, чтобы не увеличивать риски его использования. Он утверждает, что среди уже раскрытых уязвимостей нет «уязвимостей нулевого дня». В этом же пресс-релизе Ассандж зачитывает официальное обращение компании Microsoft с призывом к принятию «следующей Женевской конвенции», которая защитит мирных людей от правительственного кибероружия, подобно тому, как предыдущая Женевская конвенция защищает гражданских лиц от применения против них боевого оружия^[21].

Натан Уайт (Nathan White), старший менеджер по законодательству общественной правозащитной организации Access Now^ru_en написал^[38]:

Сегодня наша цифровая безопасность подвергается риску, потому что ЦРУ чаще собирает уязвимости, чем работает с компаниями над их исправлением. Полагаю, что в Соединённых Штатах всё же идёт процесс, способствующий повышению безопасности наших цифровых устройств и сервисов — Vulnerabilities Equities Process. Многие из этих уязвимостей были ответственно раскрыты и устранены. Эта утечка доказывает, что накапливать выявленные уязвимости вместо того, чтобы исправлять их — означает неизбежно подвергать риску пользователей цифровых устройств.

Оригинальный текст (англ.)

Today, our digital security has been compromised because the CIA has been stockpiling vulnerabilities rather than working with companies to patch them. The United States is supposed to have a process that helps secure our digital devices and services — the 'Vulnerabilities Equities Process.' Many of these vulnerabilities could have been responsibly disclosed and patched. This leak proves the inherent digital risk of stockpiling vulnerabilities rather than fixing them.

По мнению некоторых, раскрытые средства и методы работы скорее использовались для целенаправленного негласного наблюдения за интересующими разведку людьми и организациями^[39][40], нежели для массовой нецеленаправленной слежки и сплошного сбора данных; этим они отличаются от ранее раскрытых средств АНБ^[41][42]. Ассандж на пресс-конференции высказался в том же духе, предположив, что такие средства скорее будут использоваться для целенаправленных кибератак, они дороже обходятся и с большей вероятность применяются по решению суда. В то же время, по утверждению Ассанджа, есть основания подозревать, что в ЦРУ существует «подразделение автоматических закладок» (англ. automated implant branch), которое не просто разрабатывает компьютерные вирусы, но и поставило это дело на поток, автоматизировало разработку, что делает практически возможным и массовое распространение и внедрение таких троянских программ^[21].

После внутреннего расследования по результатам утечки под подозрение в передаче WikiLeaks данных попал бывший сотрудник ЦРУ Джошуа Шульте^ru_en^[43].

13 июля 2022 года суд в Нью-Йорке признал бывшего программиста ЦРУ Джошуа Шульте виновным в передаче WikiLeaks пакета данных, известного под названием «Убежище 7» (Vault 7)^[44]. В феврале 2024 года он был приговорен к 40 годам лишения свободы^[45].

• Vault 7 at Wikileaks