Το WikiLeaks μόλις αποκάλυψε άλλο ένα μυστικό project της CIA που χρησιμοποιήθηκε για την παραβίαση συστημάτων με Windows. Αυτή
τη φορά το hacking εργαλείο φέρεται να στοχεύει στον τομέα εκκίνησης
(boot sector) του λειτουργικού συστήματος και στη συνέχεια επιτρέπει την
ανάπτυξη περισσότερων κακόβουλων λογισμικών.
Το project με το κωδικό όνομα Angelfire, είχε σαν στόχο τα Windows XP και τα Windows 7 και αποτελούνταν από 5 διαφορετικά hacking εργαλεία που συνεργάζονταν για να παραβιάσουν ένα σύστημα.
Πρώτα απ ‘όλα, διέθετε το Solartime, ένα malware του οποίου ο πρωταρχικός στόχος είναι να τροποποιήσει τον τομέα εκκίνησης των Windows, φορτώνοντας ένα δεύτερο module που ονομαζόταν Wolfcreek. To Wolfcreek περιείχε το σύνολο των οδηγών που θα του επέτρεπαν να σταματήσει τη λειτουργία οδηγών και εφαρμογών.
Ένα τρίτο εργαλείο που ονομάζεται Keystone και
αναπτύχθηκε από τη CIA ειδικά γιατί επέτρεπε στους πράκτορες της να εφαρμόσουν επιπλέον κακόβουλα προγράμματα στα μολυσμένα συστήματα. Το τέταρτο κακόβουλο λογισμικό σύμφωνα με το WikiLeaks, ονομάζεται BadMFS και μπορούσε να αποθηκεύει τα δεδομένα κρυπτογραφημένα και συγκεχυμένα.
Και το τελευταίο εργαλείο είναι το Windows Transitory File System, το οποίο το WikiLeaks αναφέρει ότι σχεδιάστηκε σαν εναλλακτική λύση του BadMFS και του οποίου ο σκοπός ήταν να χρησιμοποιεί προσωρινά (RAM) αρχεία αντί να χρησιμοποιεί κάποιο σύστημα αρχείων που αποθηκεύει τις πληροφορίες τοπικά (στον σκληρό).
Το WikiLeaks εξηγεί ότι παρά τα περίπλοκα συστατικά που περιείχε το Angelfire, τα εργαλεία hacking θα μπορούσαν να ανακαλυφθούν μάλλον εύκολα, εξαιτίας μιας σειράς ζητημάτων που ακόμη και η CIA τα αναγνώριζε στα εγχειρίδια που εξηγούν την χρήση.
Για παράδειγμα, το Keystone κρυβόταν ως αντίγραφο του svchost.exe και υπήρχε πάντοτε στο C:\Windows\system32. Οπότε αν το λειτουργικό σύστημα είχε εγκατασταθεί σε διαφορετικό δίσκο, η διαδικασία θα μπορούσε να προκαλέσει δυσλειτουργίες που θα φανέρωναν το κακόβουλο λογισμικό.
Επιπλέον, το σύστημα αρχείων BadMFS δημιουργεί ένα αρχείο που ονομάζεται zf, το οποίο ενδέχεται να είχαν συναντήσει κάποιοι χρήστες όταν εργαζόταν στα συστήματά τους.
Τα έγγραφα που διέρρευσαν δεν είναι χρονολογημένα, αλλά δεδομένου ότι το Angelfire αφορούσε ειδικά το Windows 7 και το Windows XP, υπάρχει πιθανότητα το project να είχε αναπτυχθεί πριν την κυκλοφορία των Windows 8 το 2012.
Η σημερινή διαρροή είναι μέρος μιας μεγαλύτερης σειράς που ονομάζεται Vault 7.
Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου του 2017, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.
Year Zero: η CIΑ εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
Weeping Angel: το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
Dark Matter: exploits που στοχεύουν iPhones και Mac.
Marble: ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIΑ για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
Grasshopper: ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.
Archimedes: ένα εργαλείο επίθεσης MitM που φέρεται ότι δημιούργησε η CIΑ για τη στοχοθέτηση υπολογιστών μέσα σε ένα τοπικό δίκτυο (LAN).
Scribbles: ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.
Athena:έχει σχεδιαστεί για να μπορεί να αποκτήσει απόλυτα τον πλήρη έλεγχο των μολυσμένων υπολογιστών Windows, επιτρέποντας στην CIΑ να εκτελεί πάρα πολλές λειτουργίες στο μηχάνημα-στόχο, όπως διαγραφή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού, κλοπής δεδομένων και αποστολής τους σε servers της CIΑ.
CherryBlossom: εργαλείο που παρακολουθεί τη δραστηριότητα στο διαδίκτυο ενός στόχου, να ανακατευθύνει το πρόγραμμα περιήγησης, να ανιχνεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου και πολλά άλλα, μέσω του router.
Brutal Kangaroo:εργαλείο που μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.
ELSA: malware των Windows που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.
OutlawCountry: Linux malware που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.
BothanSpy – Gyrfalcon: για την κλοπή πιστοποιήσεων SSH από Windows και Linux αντίστοιχα
HighRise: το εργαλείο της CIA για την παρακολούθηση και ανακατεύθυνση μηνυμάτων SMS σε έναν απομακρυσμένο διακομιστή.
Achilles, Aeris και SeaPea: κακόβουλα λογισμικά υποκλοπής και μεταφοράς δεδομένων από συστήματα MacOS και Linux
Dumbo: μπλοκάρει κάμερες, μικρόφωνα και λογισμικό επιτήρησης.
CouchPotato: εργαλείο της CIA για κλοπή streaming video από IP Webcams
ExpressLane: Εργαλείο της CIA για την παρακολούθηση συναδέλφων στο FBI και τη NSA
Angelfire: εργαλείο της CIA που είχε σαν στόχο το boot παλαιοτέρων Windows (7 και XP)
πηγή
Το project με το κωδικό όνομα Angelfire, είχε σαν στόχο τα Windows XP και τα Windows 7 και αποτελούνταν από 5 διαφορετικά hacking εργαλεία που συνεργάζονταν για να παραβιάσουν ένα σύστημα.
Πρώτα απ ‘όλα, διέθετε το Solartime, ένα malware του οποίου ο πρωταρχικός στόχος είναι να τροποποιήσει τον τομέα εκκίνησης των Windows, φορτώνοντας ένα δεύτερο module που ονομαζόταν Wolfcreek. To Wolfcreek περιείχε το σύνολο των οδηγών που θα του επέτρεπαν να σταματήσει τη λειτουργία οδηγών και εφαρμογών.
Ένα τρίτο εργαλείο που ονομάζεται Keystone και
αναπτύχθηκε από τη CIA ειδικά γιατί επέτρεπε στους πράκτορες της να εφαρμόσουν επιπλέον κακόβουλα προγράμματα στα μολυσμένα συστήματα. Το τέταρτο κακόβουλο λογισμικό σύμφωνα με το WikiLeaks, ονομάζεται BadMFS και μπορούσε να αποθηκεύει τα δεδομένα κρυπτογραφημένα και συγκεχυμένα.
Και το τελευταίο εργαλείο είναι το Windows Transitory File System, το οποίο το WikiLeaks αναφέρει ότι σχεδιάστηκε σαν εναλλακτική λύση του BadMFS και του οποίου ο σκοπός ήταν να χρησιμοποιεί προσωρινά (RAM) αρχεία αντί να χρησιμοποιεί κάποιο σύστημα αρχείων που αποθηκεύει τις πληροφορίες τοπικά (στον σκληρό).
Το WikiLeaks εξηγεί ότι παρά τα περίπλοκα συστατικά που περιείχε το Angelfire, τα εργαλεία hacking θα μπορούσαν να ανακαλυφθούν μάλλον εύκολα, εξαιτίας μιας σειράς ζητημάτων που ακόμη και η CIA τα αναγνώριζε στα εγχειρίδια που εξηγούν την χρήση.
Για παράδειγμα, το Keystone κρυβόταν ως αντίγραφο του svchost.exe και υπήρχε πάντοτε στο C:\Windows\system32. Οπότε αν το λειτουργικό σύστημα είχε εγκατασταθεί σε διαφορετικό δίσκο, η διαδικασία θα μπορούσε να προκαλέσει δυσλειτουργίες που θα φανέρωναν το κακόβουλο λογισμικό.
Επιπλέον, το σύστημα αρχείων BadMFS δημιουργεί ένα αρχείο που ονομάζεται zf, το οποίο ενδέχεται να είχαν συναντήσει κάποιοι χρήστες όταν εργαζόταν στα συστήματά τους.
Τα έγγραφα που διέρρευσαν δεν είναι χρονολογημένα, αλλά δεδομένου ότι το Angelfire αφορούσε ειδικά το Windows 7 και το Windows XP, υπάρχει πιθανότητα το project να είχε αναπτυχθεί πριν την κυκλοφορία των Windows 8 το 2012.
Η σημερινή διαρροή είναι μέρος μιας μεγαλύτερης σειράς που ονομάζεται Vault 7.
Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου του 2017, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.
Year Zero: η CIΑ εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
Weeping Angel: το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
Dark Matter: exploits που στοχεύουν iPhones και Mac.
Marble: ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIΑ για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
Grasshopper: ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.
Archimedes: ένα εργαλείο επίθεσης MitM που φέρεται ότι δημιούργησε η CIΑ για τη στοχοθέτηση υπολογιστών μέσα σε ένα τοπικό δίκτυο (LAN).
Scribbles: ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.
Athena:έχει σχεδιαστεί για να μπορεί να αποκτήσει απόλυτα τον πλήρη έλεγχο των μολυσμένων υπολογιστών Windows, επιτρέποντας στην CIΑ να εκτελεί πάρα πολλές λειτουργίες στο μηχάνημα-στόχο, όπως διαγραφή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού, κλοπής δεδομένων και αποστολής τους σε servers της CIΑ.
CherryBlossom: εργαλείο που παρακολουθεί τη δραστηριότητα στο διαδίκτυο ενός στόχου, να ανακατευθύνει το πρόγραμμα περιήγησης, να ανιχνεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου και πολλά άλλα, μέσω του router.
Brutal Kangaroo:εργαλείο που μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.
ELSA: malware των Windows που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.
OutlawCountry: Linux malware που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.
BothanSpy – Gyrfalcon: για την κλοπή πιστοποιήσεων SSH από Windows και Linux αντίστοιχα
HighRise: το εργαλείο της CIA για την παρακολούθηση και ανακατεύθυνση μηνυμάτων SMS σε έναν απομακρυσμένο διακομιστή.
Achilles, Aeris και SeaPea: κακόβουλα λογισμικά υποκλοπής και μεταφοράς δεδομένων από συστήματα MacOS και Linux
Dumbo: μπλοκάρει κάμερες, μικρόφωνα και λογισμικό επιτήρησης.
CouchPotato: εργαλείο της CIA για κλοπή streaming video από IP Webcams
ExpressLane: Εργαλείο της CIA για την παρακολούθηση συναδέλφων στο FBI και τη NSA
Angelfire: εργαλείο της CIA που είχε σαν στόχο το boot παλαιοτέρων Windows (7 και XP)
πηγή
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου