WikiLeaks a publicat «tone» de documente ale CIA… (IV)


… în care dezvăluie cum telefoanele, calculatoarele şi televizoarele au fost transformate în instrumente de ascultare. Și maşinile sunt controlate. CIA organizează cyber-atacuri

VAULT 7


Citiți a treia parte a articolului 


Scăpând de cadrul legal şi de antivirus

O serie de standarde stabilesc tiparele de infectare ale malware-urilor CIA astfel încât acestea să inducă în eroare investigatorii unei infracțiuni cibernetice, producătorii Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens cât și companiile ce produc antiviruși ce caută să ofere protecție împotriva unor astfel de atacuri.

„Tradecraft DO and DON’T” conţine regulile CIA despre modul în care malware-ul ar trebui scris pentru a evita amprente care ar implica „CIA, guvernul SUA, sau companiile lor partenere” în „raportul de investigație”. Standarde secrete similare acoperă utilizarea criptării pentru a ascunde comunicaţiile hackerilor CIA şi a malware-urilor CIA, descrierea ţintelor şi datelor exfiltrate ca şi plăţile pentru operațiune şi persistenţa în computerele ţintei de-a lungul timpului.

Hackerii CIA au dezvoltat atacuri de succes împotriva celor mai cunoscute programe antivirus. Acestea sunt documentate în Cuceririle AV, Produse pentru Securitatea Personalului, Detectarea şi apărarea PSP şi PSP/Debugger/RE Avoidance. De exemplu, Comodo a fost cucerit de un malware CIA care s-a plasat în „Recycle Bin”-ul Windows-ului. În timp ce Comodo 6.x are o „Gaping Hole of DOOM”.

Hackerii CIA discută ceea ce hackerii „Grupului Ecuaţiei” de la NSA au făcut greşit şi modul cum producătorii de malware CIA ar putea evita o expunere similară.

Exemple

Sistemul de management al Grupului de Dezvoltare Inginerească (Engineering Development Group – EDG) al CIA conţine aproximativ 500 de proiecte diferite (şi doar unele dintre acestea sunt documentate în Anul Zero) fiecare cu subproiectele, malware-urile şi instrumentele de hacker ale sale. Majoritatea acestor proiecte sunt în legătură cu unelte care sunt folosite pentru penetrare, infestare („implantare”), control şi exfiltrare.

O altă ramură de dezvoltare se concentrează asupra dezvoltării şi operării Posturilor de Ascultare (Listening Posts – LP) şi sistemelor de Comandă şi Control (C2) folosite pentru a comunica cu şi a controla implanturile CIA; proiecte speciale sunt folosite pentru a ţinti anumite hard-uri de la rutere la televizoare smart.

Anumite proiecte sunt date ca exemplu mai jos, dar este indicat să consultaţi şi lista întreagă de proiecte descrise în Anul Zero de pe WikiLeaks.

UMBRAGE

Tehnicile tip hacker utilizate manual pun o problemă pentru agenţie. Fiecare tehnică a creat forme de „amprente” care pot fi folosite de către investigatorii legali pentru a atribui diferite atacuri multiple unei aceleiaşi entităţi. Aceasta este analog cu a găsi aceeaşi tăietură specială de cuţit pe mai multe victime ale unor crime. Modul unic de rănire crează suspiciuni că un singur criminal este responsabil. Când una dintre crimele din serie este rezolvată, atunci celelalte crime vor fi atribuite aceluiaşi făptaş.

Grupul CIA denumit Ramura de Dispozitive pentru Control de la Distanţă (Remote Devices Branch) UMBRAGE colectează şi păstrează o bibliotecă substanţială de tehnici de atac „furate” de la malware-uri produse în alte state, inclusiv în Federaţia Rusă.

Cu UMBRAGE şi proiecte similare CIA nu doar îşi creşte numărul tipurilor de atac dar de asemenea direcţionează greşit atribuirea lor, lăsând în urmă „amprente” ale grupurilor de la care au fost furate tehnicile de atac.

Componentele UMBRAGE acoperă keyloggeri, colecţia de parole, capturile cu camera web, distrugerea de date, persistenţa, escaladarea privilegiului, stealth, evitarea antivirusului (PSP) şi tehnicile de supraveghere.

Fine Dining

Fine Dining vine cu un chestionar standardizat / meniu pe care ofiţerii CIA de caz îl completează. Chestionarul este utilizat de Ramura de Suport Operaţional (Operational Support Branch – OSB) pentru a transforma cererile ofiţerilor de caz în necesităţi tehnice pentru atacuri de hacking (adică „exfiltrarea” de informaţii din sistemele computerizate) pentru operaţii specifice. Chestionarul permite OSB să identifice cum să adapteze instrumentele existente pentru operaţiune şi să comunice aceasta staff-ului de configurare a malware-ului CIA. OSB funcţionează ca interfaţă între staff-ul operaţional CIA şi staff-ul relevant pentru suport tehnic.

Pe lista posibilelor ţinte ale colecţiei sunt „Asset”, „Liason Asset”, „System Administrator”, „Foreign Information Operations”, „Foreign Intelligence Agencies” şi „Foreign Government Entities”. În mod evident este absentă orice referinţă la extremişti sau criminali transnaţionali. „Ofiţerului de caz” îi este cerut de asemenea să specifice mediul ţintei, cum ar fi tipul computerului, sistemele de operare utilizate, conectivitatea la internet şi programe antivirus instalate (PSP-uri), precum şi o listă de tipuri de fişiere care vor fi exfiltrate, cum ar fi documente Office, tip de fişiere audio, tip de fişiere video, tip de fişiere cu imagini sau tip de fişiere obişnuite. „Menu”-ul de asemenea cere informaţii dacă accesul recurent la ţintă este posibil şi cât de mult timp poate fi menţinut accesul neobservat la computer. Această informaţie este folosită de programul JQJIMPROVISE al CIA pentru a configura un set de malware-uri CIA potrivite pentru necesităţile specifice ale unei operaţiuni.

Improvise (JQJIMPROVISE)

Improvise este un set de instrumente pentru configurare, post-procesare, setare a încărcăturii şi selecţia vectorului de execuţie pentru instrumentele de supraveghere/exfiltrare care susţin toate sistemele de operare majore precum Windows (Bartender), MacOS (JukeBox) şi Linux (DanceFloor). Sistemele lor de configurare precum Margarita permite Centrului de Operaţiuni în Reţea (NOC – Network Operation Center) să personalizeze instrumente pe baza cererilor din chestionarele Fine Dining.

HIVE (Stupul)

HIVE este un set complet de malware-uri pe o multi-platformă CIA şi programele asociate de control. Proiectul furnizează implanturi personalizate pentru Windows, Solaris, MikroTik (folosit la ruterele de internet) şi platforme Linux şi infrastructura pentru un Post de Ascultare (Listening Post)/Comandă şi Constrol (C2) pentru a comunica cu aceste implanturi.

Implanturile sunt configurate pentru a comunica via HTTPS cu serverul web al unui domeniu de acoperire; fiecare operaţiune ce utilizează aceste implanturi are un domeniu de acoperire separat şi infrastructura poate manevra orice număr de domenii de acoperire. Fiecare domeniu de acoperire este conectat la o adresă IP care este situată la un furnizor VPS (Virtual Private Sevrer) comercial.

Serverul care este faţa publică a întregii încrengături trimite mai departe tot traficul pe care îl primeşte via VPN spre un server „Blot” care se ocupă de cererile de conectare prezente de la clienţi. Este setat pentru autentificare opţională a clienţilor SSL: dacă un client trimite un certificat valid de client (doar implanturile pot face asta), conexiunea este trimisă mai departe la serverul de instrumente al „fagurelui” („honeycomb”) care comunică cu implantul. Dacă lipseşte un certificat valid (cum este cazul în care cineva încearcă să deschidă website-ul domeniului de acoperire din greşeală) traficul este trimis mai departe la un server de acoperire care livrează un website cu aparenţă fără pată.

Serverul „fagure” primeşte informaţii exfiltrate de la implant; un operator poate de asemenea să instruiască implantul să execute anumite funcţii pe computerul ţintă, astfel că serverul funcţionează ca un server C2 (comandă şi control) pentru implant.

O funcţionalitate similară (deşi limitată la Windows) este furnizată de proiectul RickyBobby.

Ar fi util să consultaţi pe WikiLeaks ghidurile clasificate pentru utilizarea şi dezvoltarea HIVE.


Citiți și:

WikiLeaks ne dezvaluie cum CIA infecteaza sistemele Windows

5 lucruri cu adevărat teribile înfăptuite de CIA în ultimii 70 de ani

 

yogaesoteric
31 iulie 2019

 

Spune ce crezi

Adresa de email nu va fi publicata

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More