Ενώ όλος ο κόσμος προσπαθεί να αντιμετωπίσει την απειλή του καταστροφικού ransomware WannaCry, το WikiLeaks κυκλοφόρησε μια νέα παρτίδα διαρροών της CIA στο Vault 7. Αυτή τη φορά περιγράφει άλλα δύο malware της CIA για την πλατφόρμα των Windows.
Ονομάζονται AfterMidnight και Assassin. Kαι οι δύο κακόβουλες εφαρμογές έχουν σχεδιαστεί για την παρακολούθηση και την αναφορά ενεργειών από τον υπολογιστή του θύματος σε έναν απομακρυσμένο κεντρικό υπολογιστή που προφανώς ελέγχεται από τη CIA.
Από τον Μάρτιο, to WikiLeaks δημοσίευσε εκατοντάδες χιλιάδες έγγραφα και μυστικά εργαλεία hacking τα οποία ισχυρίζονται ότι προέρχονται από την Κεντρική Υπηρεσία Πληροφοριών των ΗΠΑ (CIA).
Αυτή η τελευταία παρτίδα είναι η 8η έκδοση της σειράς Vault 7.
AfterMidnight
Σύμφωνα με το WikiLeaks, το AfterMidnight επιτρέπει στους χειριστές του να φορτώνουν δυναμικά και να εκτελέσουν κακόβουλο ωφέλιμο φορτίο στο σύστημα του στόχου.
Ο κύριος ελεγκτής του κακόβουλου ωφέλιμου φορτίου, είναι ένα μεταμφιεσμένο αρχείο DLL (Dynamic Link Library) και εκτελεί τα “Gremlins” (μικρά ωφέλιμα φορτία που παραμένουν κρυμμένα στο μηχάνημα-στόχο), υπονομεύοντας τη λειτουργικότητα του στοχευμένου λογισμικού, ή την παροχή υπηρεσιών σε άλλα Gremlins.
Αφού εγκατασταθεί το AfterMidnight χρησιμοποιεί ένα σύστημα Post Listening Post (LP) με βάση το HTTPS που ονομάζεται Octopus για να ελέγξει για τυχόν προγραμματισμένα συμβάντα. Αν βρεθεί κάποιο, το κακόβουλο λογισμικό κατεβάζει και αποθηκεύει όλα τα απαραίτητα στοιχεία πριν φορτώσει όλα τα νέα gremlins στη μνήμη.
Σύμφωνα με τον οδηγό χρήσης που παρέχεται στην τελευταία διαρροή του WikiLeaks, η τοπική αποθήκευση που πραγματοποιεί το AfterMidnight είναι κρυπτογραφημένη με ένα κλειδί που δεν αποθηκεύεται στο μηχάνημα-στόχο.
Ένα ειδικό ωφέλιμο φορτίο, που ονομάζεται AlphaGremlin, περιέχει ένα προσαρμοσμένο script, το οποίο επιτρέπει στους χειριστές να προγραμματίσουν, προσαρμοσμένες εργασίες που θα εκτελεστούν στο στοχευόμενο σύστημα.
Assassin
Το Assassin είναι παρόμοιο με το AfterMidnight και περιγράφεται ως “αυτοματοποιημένο εμφύτευμα που παρέχει μια απλή πλατφόρμα συλλογής σε απομακρυσμένους υπολογιστές που εκτελούν το λειτουργικό σύστημα Microsoft Windows”.
Αφού εγκατασταθεί στον υπολογιστή του θύματος, το εργαλείο αυτό τοποθετεί κακόβουλα “εμφυτεύματα” μέσα σε μια διαδικασία υπηρεσιών των Windows, επιτρέποντας στους χειριστές να εκτελούν κακόβουλες εργασίες σε ένα μολυσμένο μηχάνημα, ακριβώς όπως και με το AfterMidnight.
Το Assassin αποτελείται από τέσσερα υποσυστήματα: Implant, Builder, Command and Control, και Listening Post.
Το ‘Implant’ παρέχει τη βασική λογική και λειτουργικότητα αυτού του εργαλείου στο μηχάνημα του θύματος, και “ενδιαφέρεται για τις επικοινωνίες και κάθε εκτέλεση εργασιών. Διαμορφώνεται με τη χρήση του «Builder» και αναπτύσσεται στον υπολογιστή προορισμού μέσω ενός ορισμένου φορέα.
Το Builder ρυθμίζει τα “εμφυτεύματα” και τα ‘Deployment Executables’ (εκτελέσιμα) πριν από την ανάπτυξη και “παρέχει μια προσαρμοσμένη διεπαφή γραμμής εντολών για τη ρύθμιση της διαμόρφωσης του εμφυτεύματος πριν από τη δημιουργία του”, αναφέρει ο οδηγός χρήσης του εργαλείου.
Το υποσύστημα “Command and Control” λειτουργεί ως διεπαφή μεταξύ του χειριστή και του Post Listening (LP), ενώ το LP επιτρέπει στο Implant Assassin να επικοινωνεί με το υποσύστημα εντολών και ελέγχου (Command and Control) μέσω ενός διακομιστή στο Web.
Να υπενθυμίσουμε ότι την περασμένη εβδομάδα, το WikiLeaks κυκλοφόρησε ένα εργαλείο για επιθέσεις man-in-the-middle (MitM), που ονομάζεται Archimedes, που φέρεται ότι δημιούργησε η CIA για να στοχεύσει υπολογιστές μέσα σε ένα τοπικό δίκτυο (LAN).
_____________________________________
Αυτή η πρακτική από τις αμερικανικές υπηρεσίες πληροφοριών που γνωρίζει τις αδυναμίες και δεν τις γνωστοποιεί στις εταιρείες ανάπτυξης, είναι και η αιτία εξάπλωσης του ransomware WannaCry. Το ελάττωμα της SMB που ανακάλυψε η NSA δεν αποκαλύφθηκε ποτέ εκεί που έπρεπε μέχρι που το διέρρευσαν οι Shadow Brokers πριν από ένα μήνα.
Εδώ να αναφέρουμε ότι η Microsoft, μέσω του Brad Smith, καταδίκασε την πρακτική της αμερικανικής υπηρεσίας πληροφοριών, λέγοντας ότι η «ευρεία ζημιά» που προκλήθηκε από το WannaCry συνέβη εξαιτίας της NSA, της CIA και άλλων υπηρεσιών πληροφοριών.
Από τον Μάρτιο το WikiLeaks πραγματοποίησε 8 δημοσιεύσεις στη σειρά “Vault 7”, στις οποίες περιλαμβάνονται μεγάλες διαρροές:
“Year Zero” η CIA εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
“Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
“Dark Matter” exploits που στοχεύουν iPhones και Mac.
“Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIA για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
“Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.
“Scribbles” ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.