WikiLeaks a publicat «tone» de documente ale CIA… (III)
… în care dezvăluie cum telefoanele, calculatoarele şi televizoarele au fost transformate în instrumente de ascultare. Și maşinile sunt controlate. CIA organizează cyber-atacuri
VAULT 7
Citiți a doua parte a articolului
Analiză
Malware-urile CIA ţintesc iPhone, Android, televizoare smart
Uneltele CIA de hacking şi malware sunt construite de Engineering Development Group (EDG), un grup de dezvoltare de softuri din interiorul CCI (Center for Cyber Intelligence), departament ce aparţine Directoratului de Inovare Digitală (Directorate for Digital Innovation – DDI) al CIA. DDI este unul din cele cinci directorate majore ale CIA).
EDG este responsabil de dezvoltarea, testarea şi suportul operaţional al tuturor posibilităţilor de pătrundere, exploatare, a încărcărilor maliţioase a notelor de plată, troienilor, viruşilor şi oricărei alte utilizări de malware de către CIA şi operaţiunile sale sub acoperire din întreaga lume.
Sofisticarea în creştere a tehnicilor de supraveghere a atras comparaţii cu romanul lui Geroge Orwell 1984, dar Wheeping Angel, dezvoltat de ramura EBD a CIA, care infestează televizoarele smart transformându-le în microfoane ascunse, este cu siguranţă cea mai emblematică realizare a departamentului.
Atacul împotriva televizoarelor smart Samsung a fost dezvoltat în cooperare cu MI5/ BTSS din Marea Britanie. După infestare, Wheeping Angel plasează televizorul ţintă într-un mod „fals off”, astfel că posesorul crede în mod eronat că televizorul său este închis când de fapt acesta este deschis. În modul „fals off” televizorul funcţionează ca un sistem de ascultare, înregistrând conversaţiile din cameră şi trimiţându-le prin internet la un server CIA sub acoperire.
Din octombrie 2014, CIA urmărea să infecteze sistemul de control al vehiculelor utilizat de maşinile şi camioanele moderne. Scopul unui asemenea control nu este specificat, dar ar permite CIA să se angajeze în asasinate aproape nedetectabile.
Ramura de Dispozitive Mobile (Mobile Devices Branch – MDB) a CIA a dezvoltat numeroase atacuri pentru a hăckui şi controla de la distanţă cele mai populare smartphone-uri. Telefoanele infectate pot fi „instruite” să trimită la serverele CIA geolocaţia utilizatorului, comunicaţiile audio şi text şi în plus să activeze pe ascuns camera foto şi microfonul telefonului.
În ciuda micii răspândiri a iPhone-urilor (14,5%) pe piaţa de smartphone în 2016, o unitate specializată din MDB-CIA a produs un malware care să infesteze, controleze şi exfiltreze date din iPhone-uri şi alte produse Apple care rulează iOS, cum ar fi iPad-urile.
Arsenalul CIA include numeroase „zile zero” locale şi controlate de la distanţă, dezvoltate de CIA sau obţinute de la GCHQ, NSA, FBI sau cumpărate de la contractori de arme cibernetice cum este Baitshop. Concentrarea disproporţionată pe iOS poate fi explicată de popularitatea iPhone-ului printre elitele sociale, politice, diplomatice şi de afaceri.
O unitate similară ţinteşte sistemul Android de la Google, program care este utilizat pentru funcţionarea majorităţii telefoanelor smart din întreaga lume (aproximativ 85%), incluzând Samsung, HTC şi Sony. 1,15 miliarde de telefoane pe care rulează Android au fost vândute anul trecut.
Anul Zero arată că din 2016, CIA are 24 de „zile zero” pe Androidul transformat în armă, care le-a dezvoltat în sine, şi care au fost obţinute de la GCHQ, NSA şi contractori de arme cibernetice. Aceste tehnici permit CIA să şunteze criptarea din WhatsApp, Signal, Telegram, Wiebo, Confide şi Cloackman prin acţiunea de hacking asupra telefoanelor smart care rulează aceste programe şi colectarea traficului de mesaje text şi convorbiri înainte să fie aplicată criptarea.
Malware-le CIA ţintesc Windows, Mac OS X, Linux, rutere
CIA, de asemenea, realizează un efort foarte substanţial pentru a infecta şi controla cu malware-urile sale utilizatorii de Microsoft Windows. Acestea includ multe „zile zero” locale şi de la distanţă care au fost transformate în armă, viruşi cibernetici cum ar fi Hammer Drill, care infectează programele distribuite pe CD-uri/DVD-uri, sisteme de infectare pentru USB-uri, sisteme de ascundere a datelor în imagini sau în zone acoperite de disc (Brutal Kangaroo) şi modalităţi de a face ca această infectare să se realizeze fără oprire.
La multe dintre eforturile acestea de infectare conlucrează întreaga ramură CIA denumită Automated Implant Branch (AIB), care a dezvoltat mai multe sisteme de atac pentru malware-urile CIA care realizează infestare şi control automatizat, cum ar fi Assassin şi Medusa.
Atacurile împotriva infrastructurii internetului şi a serverelor web sunt „construite” de ramura CIA Network Devices Branch (NDB).
CIA a dezvoltat o multiplatformă automatizată pentru sistemele de atac şi control incluse în malware-uri care sunt direcţionate împotriva Windows, Mac OS X, Solaris, Linux şi altele, cum ar fi HIVE de la EDB şi dispozitivele conexe Cutthroat şi Swindle, care sunt descrise în secţiunea de exemple de mai jos.
Hoarda de vulnerabilităţi CIA („zilele zero”)
Ca urmare a dezvăluirilor lui Edward Snowden despre NSA, industria SUA de tehnologie a secretizat un angajament al administraţiei Obama referitor la faptul că executivul va dezvălui pe măsură ce se descoperă vulnerabilităţi serioase, fapte, viruşi sau „zile zero” la Apple, Google, Microsoft şi alţi producători americani.
Vulnerabilităţile serioase nedezvăluite producătorilor supune zone mari de populaţie şi infrastructură critică riscului de a fi atacate de servicii secrete străine sau criminali cibernetici care au descoperit independent sau au auzit zvonuri despre existența respectivei vulnerabilități. Dacă CIA poate descoperi asemenea vulnerabilităţi, la fel de bine pot şi alţii.
Angajarea guvernului SUA în Procesul Capitalului de Vulnerabilităţi a venit după o activitate semnificativă de lobby realizată de către companiile tehnologice SUA, care riscă să-şi piardă locul pe piaţa globală din cauza unor vulnerabilităţi ascunse care sunt reale şi care au fost descoperite. Guvernul a declarat că va dezvălui toate vulnerabilităţile penetrante descoperite după 2010 pe măsură ce acestea sunt descoperite.
Documentele din Anul zero arată că CIA a violat angajamentele administraţiei Obama. Multe dintre vulnerabilităţile folosite în arsenalul cibernetic al CIA sunt insidios penetrante şi unele se poate să fi fost găsite deja de agenţii rivale sau de criminali cibernetici.
Ca un exemplu, un malware specific CIA revelat în Anul Zero este capabil să penetreze, infesteze şi controleze atât programele telefoanelor ce utilizează Android cât şi iPhone care au sau au avut conturi Twitter prezidenţiale. CIA atacă acest soft prin folosirea de vulnerabilităţi nedezvăluite („zile zero”) cunoscute de agenție, dar dacă CIA poate hăckui aceste telefoane, la fel poate face oricine altcineva care a obţinut sau a descoperit acea vulnerabilitate. Atât timp cât CIA păstrează secrete aceste vulnerabilităţi faţă de Apple şi Google (care au produs telefoanele) acestea nu vor fi reparate, iar telefoanele vor rămâne descoperite / vulnerabile.
Aceleaşi vulnerabilităţi există atât pentru populaţia largă, cât și pentru Cabinetul Prezidențial al SUA, Congres, CEO de top, administratori de sistem, ofiţeri de securitate şi ingineri. Ascunzând aceste breşe de securitate de producători ca Apple şi Google, CIA se asigură că poate hăckui pe oricine, oricând, cu preţul de a lăsa neprotejat pe oricine.
Programele de „război cibernetic” sunt un risc serios în creştere
Nu este posibil să ţii sub control eficient „armele” cibernetice. În timp ce proliferarea armelor nucleare a fost restrânsă de costurile enorme şi de vizibilitatea infrastructurii implicate în asamblarea a suficient material de fisiune pentru a produce o masă nucleară critică, „armele” cibernetice, odată dezvoltate, este dificil să le controlezi.
„Armele” cibernetice sunt de fapt programe de computer care pot fi piratate ca orice alt program. Iar atunci când sunt complet acoperite de informaţii, ele pot fi copiate rapid fără costuri marginale.
Securizarea unor asemenea „arme” este în mod special dificilă deoarece aceiaşi oameni care le dezvoltă şi le folosesc au abilităţi de a exfiltra copii fără să lase urme – uneori prin folosirea aceloraşi „arme” împotriva organizaţiilor care le deţin. Există stimulente financiare substanţiale pentru hackeri şi consultanţi guvernamentali în scopul de a obţine copii – există o „piaţă de vulnerabilităţi” globală care va plăti sute de mii, până la milioane de dolari pentru copii ale unor astfel de „arme”. În mod similar, contractori şi companii care obţin asemenea „arme”, uneori le utilizează pentru propriile lor scopuri, obţinând avantaje asupra altor competitori în vânzarea de servicii care au fost obţinute prin hacking.
În ultimii ani, sectorul serviciilor secrete americane, care constă în agenţii guvernamentale precum CIA, NSA şi contractorii lor, cum este Booze Allan Hamilton, au fost subiectul unei serii fără precedent de date exfiltrate de către proprii angajaţi. Un număr de membri din comunitatea serviciilor secrete, asupra cărora s-a păstrat anonimatul, au fost arestaţi sau supuşi investigaţiilor federale în diferite incidente separate.
Mai vizibil, pe 8 februarie 2017, un mare juriu federal îl acuza pe Harold T. Martin de 20 de situaţii de manevrare defectuoasă de informaţii clasificate. Departamentul Justiţiei a arătat că reţinuse de la Harold T. Martin III aproximativ 50.000 Gb de informaţii pe care el le obţinuse din programe clasificate de la NSA şi CIA, incluzând codul sursei pentru numeroase unelte de hacking. În momentul în care o singură „armă” cibernetică este scăpată de sub control, ea se poate răspândi în întreaga lume în câteva secunde, putând să fie folosită de alte state, de mafia cibernetică şi de adolescenţi hackeri.
Consulatul SUA din Frankfurt este o acoperire pentru baza CIA de activităţi de hacking
Pe lângă operaţiunile sale din Langley, Virginia, CIA foloseşte, de asemenea, consulatul SUA din Frankfurt ca bază sub acoperire pentru hackerii ei care se ocupă de Europa, Orientul Mijlociu şi Africa. Hackerilor CIA care operează în afara consulatului din Frankfurt (Center for Cyber Intelligence Europe – CCIE) li se dau paşapoarte diplomatice („negre”) şi acoperire din partea Departamentului de Stat.
Instrucţiunile pentru hackerii CIA care vin în Germania face ca eforturile contrainformaţiilor nemţeşti să pară inconsecvente: „Treceți fără probleme prin vama germană deoarece aveţi povestea de acoperire a acţiunii şi tot ceea ce ei fac este să vă ştampileze paşaportul”.
Povestea de acoperire a acţiunii dvs. (pentru această călătorie):
Î: De ce sunteţi aici?
R: Pentru a oferi consultaţii tehnice la Consulat.
Două postări anterioare pe WikiLeaks au dat detalii asupra modului de abordare a angajaţilor CIA la vamă şi asupra procedurilor secundare de screening. Odată ajunşi în Frankfurt, hackerii CIA pot călători fără alte verificări de frontieră în cele 25 de ţări europene care sunt parte din zona Shengen – incluzând Franţa, Italia şi Elveţia.
Un număr de metode de atac electronic ale CIA sunt desemnate pentru proximitate fizică. Aceste metode de atac sunt capabile să penetreze reţele de înaltă securitate care sunt deconectate de la internet, cum ar fi baza de date a poliţiei. În aceste cazuri, un ofiţer CIA, agent CIA sau ofiţer de servicii secrete aliate CIA acţionând sub instrucţiuni, infiltrează fizic locul de lucru ţintit. Atacatorul este dotat cu un USB cu malware dezvoltat pentru CIA în acest scop, şi care va fi inserat în computerul ţintă. Atacatorul apoi infectează şi exfiltrează date pe un suport media detaşabil. Spre exemplu, sistemul CIA de atac numit Fine Dining furnizează 24 de aplicaţii tip „momeală” pentru utilizare de către spionii CIA. Pentru martori, spionul pare că rulează un program ce prezintă material video (de exemplu, VLC), prezintă slide-uri (Prezi), sau joacă un joc pe computer (Breakout 2, 2048) sau chiar rulează un fals program de scanare de viruşi (Kasperski, McAfee, Sophos). Dar în timp ce aplicaţia momenală este afișată pe ecran, sistemul care o suportă este în mod automat infectat şi cotrobăit.
Modul în care CIA a crescut în mod dramatic riscurile de proliferare
În ceea ce cu siguranţă reprezintă unul dintre scopurile de preţ ale serviciilor informative, CIA a structurat regimul său de clasificare astfel încât pentru cea mai mare parte a documentelor valoroase dezvăluite în Vault 7 – malware-le transformate în armă ale CIA (implanturi – zile zero), posturi de ascultare (PA) şi sisteme tip comandă şi control (C2) – agenţia are recurs legal mic.
CIA a făcut aceste sisteme neclasificate
De ce CIA a ales ca arsenalul său cibernetic să fie neclasificat, arată modul în care conceptele dezvoltate pentru utilizare militară nu trec cu uşurinţă pe câmpul de luptă al războiului cibernetic. Pentru a-şi ataca ţintele, CIA de obicei are nevoie ca implanturile ei să comunice cu programele de control prin internet. Dacă implanturile CIA, programele Comandă-şi-Control şi Post de Ascultare ar fi fost clasificate, atunci ofiţerii CIA ar putea fi acuzaţi sau concediaţi pentru violarea legilor care interzic plasarea de informaţii clasificate pe internet.
În consecinţă, CIA a făcut în mod secret mare parte a codului ei de spionaj/război cibernetic neclasificat. Guvernul SUA nu este în măsură să acorde nici copyright, datorită restricţiilor din Constituţia SUA. Aceasta înseamnă că producătorii de „arme” cibernetice şi hackerii de computere pot pirata în mod liber aceste „arme”, dacă sunt obţinute. CIA este necesar să se bizuie în primul rând pe confuzie pentru a proteja secretele malware-urilor sale.
Armele convenţionale precum rachetele pot fi trase spre inamic (adică spre o zonă fără protecţie). Apropierea de sau impactul cu ţinta detonează încărcătura armei, inclusiv părţile clasificate. Astfel, personalul militar nu violează legile clasificării atunci când trage cu arme ce includ părţi clasificate. Încărcătura cel mai sigur va exploda. Dacă nu explodează, nu este intenţia celui care a tras.
În ultimul deceniu, operaţiunile de hacking ale SUA au fost din ce în ce mai cosmetizate în jargon militar pentru a pătrunde în filoanele de finanţare ale Departamentului Apărării. Pentru moment, realizarea de „injecţii malware” (jargon comercial) sau „picături implantate” (jargon NSA) sunt denumite „focuri”, ca şi cum o armă ar fi tras unul/mai multe focuri. Oricum, analogia este plasată sub semnul întrebării.
În mod diferit faţă de gloanţe, bombe sau rachete, majoritatea malware-urilor CIA sunt destinate să existe zile sau chiar ani după ce şi-a atins „ţinta”. Malware-urile CIA nu „explodează la contact”, dar infestează aproape pentru totdeauna ţinta. Pentru a infecta dispozitivul ţintei, copii ale malware-ului este nevoie să fie plasate pe dispozitivul ţintei, dând capacitatea de posesie fizică a ţintei de către malware. Pentru a exfiltra date spre CIA sau pentru a aştepta instrucţiuni viitoare, malware-ul este necesar să comunice cu sistemele Comandă şi Control (C2) ale CIA plasate pe servere conectate la internet. Dar asemenea servere în mod specific nu sunt aprobate pentru a ţine informaţii clasificate, astfel că sistemele de comandă şi control ale CIA sunt, de asemenea, neclasificate.
Un „atac” de succes asupra sistemului computerului ţintă este mai degrabă ca o serie de manevre într-o comandă de preluare ostilă sau de plantare cu grijă de zvonuri cu scopul de a obţine controlul asupra conducerii unei organizaţii, decât ca o serie de focuri de armă. Dacă putem face o analogie militară, infestarea unei ţinte este probabil similară execuţiei unei serii de manevre militare împotriva teritoriului ţintei incluzând observări, infiltrări, ocupaţie şi exploatare.
Citiți a patra parte a articolului
Citiți și:
FBI se preface că îi protejează pe americani de atacuri cibernetice și dă vina pe ruși
Clienţii serviciilor Microsoft sunt spionaţi de către Guvernul SUA cu permisiunea companiei Microsoft
yogaesoteric
29 iulie 2019