Разработчик OpenBSD обвинил ФБР во внедрении бэкдоров в криптографические модули системы

Разработчик OpenBSD обвинил ФБР во внедрении бэкдоров в криптографические модули системы

Руководитель компании GoVirtual Грегори Перри, который 10 лет назад принимал непосредственное участие в разработке криптографической инфраструктуры ОС OpenBSD, на днях заявил, что государственные заказчики платили программистам-исполнителям за внедрение бэкдоров и уязвимостей в стэк IPSec этой операционной системы. Соответствующая информация была изложена в электронном письме, которое г-н Перри направил на имя нынешнего главы проекта OpenBSD Тео де Раадта; последний, в свою очередь, решил предать письмо огласке.



Поскольку письмо невелико, имеет смысл привести его полностью.


"Привет, Тео," - пишет г-н Перри. - "Уже довольно много времени прошло с момента нашей последней беседы. Возможно, ты помнишь, что когда-то я был главным технологом NETSEC и распоряжался финансированием проекта криптосистемы OpenBSD. В это же время я оказывал услуги консультанта Федеральному бюро расследований и, в частности, так называемому центру технической поддержки GSA - криптологическому проекту, который занимался внедрением средств удаленного управления и механизмов депонирования ключей для смарт-карт и прочих аппаратных вычислительных технологий.


Недавно истек срок действия моей подписки о неразглашении, которую я давал ФБР. Я хотел бы поставить тебя в известность о том, что бюро внедрило в криптографическую инфраструктуру OpenBSD несколько бэкдоров, а также ряд механизмов, позволяющих осуществлять успешные атаки на шифросистему по побочным каналам. В первую очередь это было сделано для того, чтобы обеспечить мониторинг защищенных межсайтовых коммуникаций с использованием технологий VPN, которые активно продвигались родительской организацией ФБР - ведомством прокурорского надзора EOUSA. Джейсон Райт и некоторые другие разработчики непосредственно отвечали за создание и установку этих бэкдоров, и я бы советовал как следует изучить весь код, который был написан им и его коллегами во времена NETSEC.


Не исключено, что именно поэтому ваш проект лишился поддержки фонда DARPA: скорее всего, они заподозрили или каким-то образом узнали, что эти средства удаленного управления действительно существуют, и не захотели рисковать.


Также именно здесь следует искать причину того, что некоторые федеральные агенты и их гражданские помощники начали активно продвигать идею использования OpenBSD при построении виртуальных вычислительных сред и систем их защиты. Например, Скотт Лоуи, который считается авторитетным специалистом в соответствующих кругах, состоит на содержании у ФБР; недавно он выпустил несколько руководств по использованию виртуальных машин на OpenBSD при развертывании корпоративных решений от VMWare.


C наступающим Рождеством...


Грегори Перри, генеральный директор GoVirtual Education"


Хотя на данный момент заявление главы GoVirtual остается лишь заявлением, которое ничем не подтверждено, сказанное им уже вызвало озабоченность у многих специалистов по защите информации.


В распоряжении журналиста The Register оказалось несколько комментариев относительно содержания письма. В частности, бывший агент ФБР И.Дж. Хилберт, в сферу ответственности которого входили вопросы киберпреступности, заявил, что бюро действительно предпринимало попытки внедрить бэкдоры в программное обеспечение с открытым кодом, однако все эти эксперименты окончились неудачей. В свою очередь, специалист Крис Уайсопл, занимающий ныне пост главного технолога компании Veracode, отметил, что, "если уж OpenBSD со всеми ее внутренними механизмами контроля и аудита была скомпрометирована, то что говорить обо всех остальных системах - Linux, Windows, FreeBSD, OS X? Вряд ли ФБР ограничилась лишь этой малораспространенной ОС..."

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru