Wikileaks afsløret 3 flere spyware dokumenter fra CIA Vault 7 lækager. Frigivelsen er en del af et projekt kaldet “Kejserlig” der omfatter tre avancerede hacking værktøj, der anvendes til at udspionere brugere på verdensplan. De kaldes Achilles, SeaPea og Aeris bruges til at infiltrere Mac OS X og Linux-systemer.
CIA Vault 7 Leak afslører Achilles - Mac OS X Trojan
De CIA-operatører udnytte Achilles hacking værktøj til at ændre legitime Mac OS X-installatører. Den frigivne dokumentation viser, at den første store version blev lavet i 2011. Men egentlig test af softwaren er blevet gjort i 2009 med version af Mac OS X 10.6 med et tidligere build. Den består af en samling af skalskripter udført ved hjælp af BASH kommandoshell. De giver CIA evnen til at ændre vigtige variabler, der fører til en-gang vilkårlig kommando udførelse.
De ændrede installere filerne er lavet til at ligne de originale kildefiler. Når ofrene udføre dem på deres system en meddelelse prompt der beder dem om at trække softwaren til Application mappen. Efter programmet udføres for første gang alle de legitime eksekverbare filer for ikke at rejse mistanke. Den ondsindede kode udføres parallelt og Achilles koden fjernes efter programmet er slut. Dette gøres for at fjerne alle spor af den skadelige injektion.
SeaPea Mac OS X Rootkit Udviklet af CIA Vault 7
SeaPea er specialist Mac OS X-rootkit foretaget af CIA-agenter, som beskrevet i Vault 7 lække. Det er i stand til både at skjule sig fra detektion og lancere farlige kommandoer på de inficerede maskiner. Den er kompatibel med Mac OS X-versioner 10.6 og 10.7 i både deres 32 og 64-bit udgivelser. Brug af SeaPea spyware brugerne kan skjule den farlige fil og også lancere forskellige kommandoer.
At være effektivt CIA-agenter skal bruge en to-trins-infektion tilgang:
- SeaPea Building - Dette er et klassificeret python script, der opretter forekomster af SeaPea rootkit. Det kan tilpasses til at følge en foruddefineret adfærdsmønster når infektionen initieres.
- Attack Indledning - Dette er den anden infektion modul, der er en del af SeaPea Mac OS X rootkit. Det er et script, der bruges til at lancere infiltration angreb.
Indstillingstilvalg omfatter rootkit opstart biblioteket, implantat mappe, vedholdenhed fil, liste scripts, loader og andre. CIA har lavet flere installationstyper - frisk installation (med et stop-fil), opdatere til eksisterende infektioner og en separat “nej slet” option, der forbyder det selv-delete funktionen installatør. Hvis installatøren støder på fejl under infektionen fase en fejlkode genereres til stdout. Den SeaPea malware kræver root-adgang til succesfuldt infiltrere systemer. Mulige fejl omfatter: omformateret harddisk, versionsopgraderingspakke, forkerte parametre.
Den rootkit følger et sæt infektion rutine ved først at kontrollere for eventuelle kernepanik. Motoren derefter fastlægger den nærmere operativsystem og kerne version. Afhængig af Mac OS X version det passende rootkit-versionen er indlæst. Læsseren starter en selv-diagnostisk for at sikre, at alle komponenter fungerer korrekt. Motoren tildeler processer til tre foruddefinerede kategorier: Normal, Elite (skjult fra normale og elite processer, de kan ikke se deres egen aktivitet) og Super-Elite (det kan se alle aktiviteter og er skjult fra andre processer). Proces kategori ændringer er lavet ved hjælp specialiserede kommandoer.
Aeris er et automatiseret implantat Lavet af CIA
Dette er en automatisk implantat skrevet i C programmeringssprog, der arbejder med en bred vifte af populære operativsystemer. Dette omfatter populære Linux-distributioner (ligesom Red Hat Enterprise Linux, Debian og Ubuntu), samt Solaris og FreeBSD. En bygherre bruges til at generere de enkelte stammer og det hjælper operatørerne til at lancere Aeris mod mål. Dens funktioner liste omfatter følgende kapaciteter:
- Standalone og Collide-baserede HTTPS LP support
- SMTP-protokollen støtte
- TLS krypteret kommunikation med gensidig godkendelse (Tillæg C og D)
- Kompatibilitet med NOD kryptografiske Specification (Tillæg C og D)
- Struktureret kommando og kontrol, der svarer til den, der anvendes af flere vinduer
implantat- (sektion IV) - Automatiseret fil udsivning (sektion IV)
- Enkel og fleksibel implementering og installation (sektion III).
Den Aeris implantat skal indsættes manuelt af CIA-agenter. Det kan rapportere tilbage til spionage agentur via medfølgende netværksservere. Dette gøres ved hjælp af en sikker forbindelse (anvender HTTPS-protokollen) som hver implantat eksempel har en unik certifikat myndighed.
Yderligere CIA spyware værktøjer forventes fra Wikileaks
Wikileaks løbende skrive nye oplysninger om spionage operationer, der er anlagt af CIA og andre organer i USA. En stor del af de værktøjer, der er foretaget for flere år siden, og er sandsynligvis ikke bliver brugt aktivt mere. Dette kan betyde, at agenturerne nu bruger en ny generation af værktøjer, som stadig er i øjeblikket ukendt for den brede offentlighed og sikkerhed samfund. Vi formoder, at hvis sådanne værktøjer, de er sandsynligvis en udviklet trussel mod sikkerheden for alle computerbrugere over hele verden.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: