«SWAP» позволяет обеспечить присутствие ПО для шпионажа за счет использования «BIOS» материнской платы и «HPA» области жесткого диска путем исполнения кода до запуска ОС. Данная закладка позволяет получить удаленный доступ к различным ОС («Windows», «FreeBSD», «Linux», «Solaris») c различными файловыми системами («FAT32», «NTFS», «EXT2», «EXT3», «UFS 1.0»). Для установки используются 2 утилиты: «ARKSTREAM» перепрошивает «BIOS», а «TWISTEDKILT» записывает в «HPA» область диска «SWAP» и его функциональная часть.
«WISTFULTOLL» — это плагин к программам «UNITEDRAKE» и «STRAITBIZZARE» для сбора информации на целевой системе, использует вызовы «WMI» и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на «USB» — накопитель.
«SOMBERKNAVE» — программная закладка, работающая под «Windows XP» и предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные «Wi-Fi» адаптеры, в случае, когда пользователь задействовал адаптер «SOMBERKNAVE», прекращает передачу данных.
Аппаратные закладки
«HOWLERMONKEY» представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.
«JUNIORMINT» — миниатюрная аппаратная закладка на базе «ARM» — системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор «ARM9» 400 MГц, флеш 32 MБ, «SDRAM» 64 MБ, ПЛИС «Vertex4/5», оснащенная 128 MБ «DDR2».
«MAESTRO-II» миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Характеристики довольно скромные: процессор «ARM7» 66 MГц, оперативная память 8 MБ, флеш 4 MБ.
«TRINITY» — миниатюрная аппаратная закладка на базе «ARM» — системы, размером в 1-центовую монету. Обладает следующими характеристиками: процессор «ARM9» 180 MГц, оперативная память 96 MБ, флеш 4 MБ. Используется в составе других устройств.
«COTTONMOUTH-I» аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими «СOTTONMOUTH».
В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Существует версия под названием «MOCCASIN», представляющая собой закладку в коннекторе «USB» — клавиатуры.
«COTTONMOUTH-II» — аппаратная «USB» — закладка, которая предоставляет скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый «USB» — коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.
«COTTONMOUTH-III» — аппаратная «USB» — закладка, которая предоставляет беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY». Представляет собой блок разъемов, устанавливаемых на шасси, и может взаимодействовать с другими «COTTONMOUTH» установленными на этом же шасси.
«FIREWALK» — аппаратная сетевая закладка, способная пассивно собирать трафик сети «Gigabit Ethernet», а также осуществлять активные инъекции в «Ethernet» пакеты целевой сети. Позволяет создавать «VPN» туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими «HOWLERMONKEY» — совместимыми устройствами.
Исполнение данной закладки аналогично «COTTONMOUTH-III», такой же блок разъемов на шасси. В основе лежит элементная база «TRINITY», в качестве радиопередатчика используется «HOWLERMONKEY».
«SURLYSPAWN» — аппаратная закладка (кейлоггер), которая позволяет получить по радиоканалу данные от цели (клавиатура, низкоскоростные цифровые устройства). Данные передаются в отраженном сигнале, для активации необходимо облучение закладки радиосигналом от специализированного излучателя. Кейлоггер совместим с «USB» и «PS/2» клавиатурами, в дальнейшем планируется добавление совместимости с клавиатурами ноутбуков.
«RAGEMASTER» — аппаратная закладка, позволяющая перехватить сигнал от «VGA» монитора. Закладка прячется в обычный «VGA» — кабель, соединяющий видеокарту и монитор, как правило, в феррите на видеокабеле. Реализован захват сигнала с красного цветового канала. Представляет собой пассивный отражатель, т. е. активируется при облучении радиосигналом от специализированного излучателя.
Роутеры
Роутеры (маршрутизаторы) — это специальные компьютеры, которые предназначены для подключения к внутренней сети компании или внешней сети, а также для передачи и обработки интернет-трафика. Согласно каталогу «АНТ» подразделение АНБ имеет среди его предложений закладки для использования в профессиональных роутерах, выпущенных, по крайней мере, компаниями «Juniper» и «Huawei».
Закладки устанавливаются в «BIOS» на самом низком уровне ПО в каждом устройстве. Это гарантирует, что другие дополнительные вредоносные программы также могут быть установлены, даже если компьютер перезагружается или установлена новая ОС. Модели роутеров, которые представлены в каталоге ANT, предназначены для использования малого, среднего и крупного бизнеса, а также для центров обработки данных провайдеров интернет и мобильных операторов телефонных услуг.
Компания «Huawei» (Китай) зарекомендовала себя как один из крупнейших в мире производителей сетевого оборудования. По данным исследовательской фирмы «Infonetics», компания «Huawei» занимает 2-е место на мировом рынке во втором квартале 2013 года по продаже маршрутизаторов и коммутаторов для мобильной связи и Интернет-провайдеров, сразу за «Cisco» и впереди «Juniper».
Роутеры «Juniper J-Series» предназначены для соединения серверов и настольных компьютеров с корпоративной сетью и интернетом.
«HEADWATER» — программная закладка для роутеров «Huawei», обеспечивающая уязвимость класса «бэкдор» в модуле памяти «ROM» и устанавливаемая при обновлении загрузчика. Закладка устойчива к прошивке обновления и предоставляет возможность дистанционного управления устройством. Позволяет удаленно перехватывать и анализировать все проходящие через роутер пакеты.
«SCHOOLMONTANA» — программная закладка для роутеров «Juniper J-Series», устойчивая к обновлениям ПО. Сохраняется при перезагрузке, обновлении ОС роутера и даже при физической замене карты памяти с прошивкой. Основной вектор атаки направлен на модификацию «BIOS». Нацелена на роутеры под управлением ОС «JUNOS», а по сути, это «бэкдор», разработанный для использования под ОС «FreeBSD».
Роутеры «Juniper M-Series» компании «Juniper» предназначены для организации магистральных сетей в крупных компаниях и поставщиков сетевых услуг. Они также используются в центрах обработки данных компаний, которые предоставляют другие корпорации и для частных клиентов для соединения с сетью интернет.