En af største skandaler 2017, den ene involverer WikiLeaks og CIA, eskalerer ved minut. Det er nu kendt, at et af holdene for agenturet har specialiseret sig i at genbruge stumper af kode og teknikker taget fra ... offentlige malware prøver.
Holdet pågældende er døbt Umbridge og er en del af Remote Development Branch under CIA Center for Cyber Intelligence. Holdet fastholder et bibliotek af teknikker taget fra virkelige malware brugt i egentlige angreb i naturen. Denne "lånt viden" anvendes i en række CIA-projekter.
Hvilken slags teknikker Har anstød Lånt fra Real-Life Malware?
Filen aftørring gennemførelsen af viskeren malware Shamoon har været brugt. Som vi skrev i går, visker malware er netop vendt tilbage med en anden version, sammen med en nyopdaget stykke døbt StoneDrill.
Relaterede: StoneDrill, Shamoon 2.0: Wiper Malware bliver bedre
Shamoon første udgave blev anvendt i en kommerciel, digitalt signeret driver kaldes RawDisk af et selskab ved navn EldoS. Driveren giver apps at overskrive filer, selvom filerne er låst af operativsystemer. Det skal kun installeres på et system.
Hvad Umbridge holdet gjorde var at analysere, hvordan de kodere af Shamoon forbigået kontrollere licensen til RawDisk driveren og anvendt den samme disk aftørring teknik i deres eget stykke navngivet Rebound. Mere information kan findes på Wikileaks side.
Mærkeligt, det skønnes muligt, at en anti-malware program eller endda en malware forsker kunne støde CIAs Rebound i naturen og faktisk identificere den som en variation af Shamoon!
Udover Shamoon, CIA særlige hold har også været ved hjælp af andre teknikker og kode her taget fra kendte malware. Opnået ved Umbridge datalager kan anvendes til en række årsager såsom dataindsamling, stealth, forbigå AV produkter, udholdenhed, privilegium eskalering, etc.
Relaterede: Hacking Team Pladser Anti-kryptering, Galileo Værktøj til FBI
Her er flere andre eksempel: en vedholdenhed teknik blev taget fra se rootkit; to anti-sandboxing teknikker blev lånt fra Trojan Upclicker og Nuklear Exploit Pack; et webcam capture teknik blev taget fra DarkComer RAT. Interessant, andre teknikker blev også taget, men de nøjagtige stykker malware, de blev taget fra, blev ikke angivet i dokumenterne.
De kodenavne for nogle af de interne projekter, der brugte repurposed malware er listet. Men, der er næsten ingen oplysninger om, hvad de rent faktisk kunne gøre. Der var én undtagelse, dog, døbt Sandshark. Det blev fundet i et andet dokument som "Listening Post" software, NetworkWorld rapporter. Ikke desto mindre, det er ikke svært at antage, hvordan de lånte teknikker blev gearede da det på en måde er udledt af deres funktionalitet.
Ikke overraskende, Anstød blev også lokket af koden lækket fra Hacking Team i 2015.
Relaterede: Tale(en)r Proof-of-Concept Malware Slår Hovedtelefoner til Spies