Een van de grootste schandalen van 2017, de ene met betrekking tot WikiLeaks en de CIA, escaleert met de minuut. Het is nu bekend dat een van de teams van het bureau gespecialiseerd is in het hergebruiken van stukjes code en technieken uit… openbare malwarestalen.
Het team in kwestie heet Umbrage en maakt deel uit van de Remote Development Branch onder het CIA's Center for Cyber Intelligence. Het team houdt een bibliotheek bij met technieken die zijn ontleend aan echte malware die wordt gebruikt bij daadwerkelijke aanvallen in het wild. Deze 'geleende kennis' wordt toegepast in een reeks CIA-projecten.
Wat voor soort technieken heeft umbrage geleend van real-life malware?
De implementatie van het wissen van bestanden van de wiper-malware Shamoon is gebruikt. Zoals we schreven gisteren, de wiper-malware is net terug met een tweede versie, samen met een nieuw ontdekt stuk genaamd StoneDrill.
Verwant: StoneDrill, Shamoon 2.0: Wiper Malware Getting Better
De eerste editie van Shamoon werd gebruikt in een commercial, digitaal ondertekend stuurprogramma genaamd RawDisk door een bedrijf genaamd Eldos. Met het stuurprogramma kunnen apps bestanden overschrijven, zelfs als de bestanden zijn vergrendeld door de besturingssystemen. Het hoeft alleen op een systeem te worden geïnstalleerd.
Wat het Umbrage-team deed, was analyseren hoe de codeerders van Shamoon de licentiecontrole voor de RawDisk-driver omzeilden en dezelfde schijfwistechniek toepasten in hun eigen stuk genaamd Rebound.. Meer informatie is beschikbaar op de Wikileaks pagina.
nieuwsgierig, het wordt mogelijk geacht dat een anti-malwareprogramma of zelfs een malware-onderzoeker CIA's Rebound in het wild zou kunnen tegenkomen en het daadwerkelijk zou kunnen identificeren als een variant van Shamoon!
Behalve Shamoon, Het speciale team van de CIA gebruikt ook andere technieken en codefragmenten van bekende malware. De door Umbrage verkregen opslagplaats kan om verschillende redenen worden gebruikt, zoals het verzamelen van gegevens, heimelijkheid, AV-producten omzeilen, volharding, privilege escalatie, etc.
Verwant: Hacking Team Staanplaatsen Anti-encryptie, Galileo Tools om de FBI
Hier zijn een aantal andere voorbeelden: een persistentietechniek werd overgenomen van de HiKit-rootkit; er zijn twee anti-sandboxing-technieken ontleend Trojan Upclicker en Nucleair Exploit-pakket; een webcam-opnametechniek is overgenomen van de DarkComer RAT. belangwekkend, Er werden ook andere technieken gebruikt, maar de exacte stukjes malware waarvan ze afkomstig waren, werden niet gespecificeerd in de documenten.
De codenamen voor enkele van de interne projecten die hergebruikte malware gebruikten, worden vermeld. Echter, er is bijna geen informatie over wat ze werkelijk zouden kunnen doen. Er was één uitzondering, echter, genaamd Sandshark. Het werd gevonden in een ander document als "Listening Post" -software, NetworkWorld rapporteert. Niettemin, het is niet moeilijk om aan te nemen hoe de geleende technieken werden gebruikt, aangezien dit op de een of andere manier wordt afgeleid uit hun functionaliteit.
Niet verrassend, Umbrage werd ook gelokt door de code die van het Hacking Team was gelekt 2015.
Verwant: Spreken(een)R Proof-of-Concept Malware Blijkt Headphones in Spies
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: