Wikileaks enthüllt 3 mehr Spyware Dokumente aus dem CIA Vault Ursprung 7 Lecks. Die Veröffentlichung ist Teil eines Projekts namens “kaiserlich” das schließt drei neue Hacking-Tool verwendet, auf Benutzer auszuspionieren weltweit. Man nennt sie Achilles, SeaPea und Aeris verwendet Mac OS X und Linux-Systeme zu infiltrieren.
CIA Vault 7 Leak enthüllt Achilles - Mac OS X Trojaner
Die CIA-Betreiber nutzen das Achilles Hacker-Tool legitimen MAC OS X Installer zu ändern. Die freigegebene Dokumentation zeigt, dass die erste Hauptversion erfolgte in 2011. Allerdings tatsächliche Prüfung der Software wurde durchgeführt in 2009 mit Version Mac OS X 10.6 mit einem frühen Build. Es besteht aus einer Sammlung von Shell-Skripten mit dem BASH-Befehls-Shell ausgeführt. Sie geben der CIA die Möglichkeit, wichtige Variablen zu ändern, die zu einmaliger beliebiger Befehlsausführung führen.
Die modifizierten Installationsdateien gemacht werden wie die ursprünglichen Quelldateien suchen. Wenn die Opfer führen sie auf ihrem System eine Benachrichtigung Aufforderung, die sie die Software in das Anwendungsverzeichnis ziehen fragt. Nachdem das Programm zum ersten Mal alle der legitimen ausführbaren Dateien ausgeführt, um nicht den Verdacht zu erheben. Der bösartige Code wird parallel und die Achilles-Code ausgeführt wird entfernt, nachdem das Programm beendet. Dies geschieht, um alle Spuren der bösartigen Injektion zu entfernen.
SeaPea Mac OS X Rootkit Entwickelt von CIA Vault 7
SeaPea ist ein Spezialist für Mac OS X Rootkit von den CIA-Agenten, wie in der Vault beschrieben 7 Leck. Es ist in der Lage, sowohl sich selbst verstecken von der Erkennung und starten gefährliche Befehle auf den infizierten Rechnern. Es ist kompatibel mit Mac OS X-Versionen 10.6 und 10.7 sowohl in ihrer 32 und 64-Bit-Versionen. Mit Hilfe der SeaPea Spyware können die Benutzer die gefährliche Datei verbergen, und starten Sie auch verschiedene Befehle.
Sein müssen effektiv die CIA-Agenten einen zweistufigen Infektions Ansatz verwenden:
- SeaPea Gebäude - Dies ist ein klassifiziertes Python-Skript, die Instanzen des SeaPea Rootkit erzeugt. Es kann angepasst werden, um ein vorgegebenes Verhaltensmuster zu folgen, sobald die Infektion ausgelöst wird.
- Angriff Initiation - Dies ist die zweite Infektion Modul, das Teil des SeaPea Mac OS X Rootkit ist. Es ist ein Skript, das verwendet wird, um die Infiltration Angriffe zu starten.
Die Konfigurationsoptionen umfassen das Rootkit Startverzeichnis, Implantat-Verzeichnis, Persistenz-Datei, Skripte Liste, Lader und andere. Die CIA hat mehrere Installationstypen gemacht - frisch installieren (mit einer Stop-Datei), aktualisieren, um bestehende Infektionen und einem separaten “nicht löschen” Option, die das Installationsprogramm selbstLöschFunktion nicht zulässt. Wenn das Installationsprogramm Fehler während der Infektionsphase begegnet wird ein Fehlercode an die Standardausgabe erzeugt. Die SeaPea Malware erfordert Root-Zugriff, um erfolgreich die Systeme zu infiltrieren. Mögliche Fehler sind: umformatiert Festplatte, Versions-Upgrade, falsche Parameter.
Das Rootkit folgt eine Reihe Infektion Routine durch erste Prüfung für alle Kernel-Panik. Der Motor bestimmt dann das genaue Betriebssystem und Kernel-Version. In Abhängigkeit von der Mac OS X-Version der entsprechende Rootkit-Version geladen werden. Der Lader leitet eine Selbstdiagnose, um sicherzustellen, dass alle Komponenten ordnungsgemäß funktionieren. Der Motor weist Prozesse zu drei vordefinierten Kategorien: Normal, Elite (versteckt von normalen und Elite-Prozessen, sie können nicht ihre eigene Tätigkeit ansehen) und Super-Elite (es kann alle Aktivitäten sehen und wird von anderen Prozessen verborgen). Prozesskategorie Änderungen werden mit Hilfe spezieller Befehle gemacht.
Aeris ist ein automatisiertes Implantat von der CIA gemacht
Dies ist eine in der Programmiersprache C geschrieben automatisierte Implantat, das mit einer Vielzahl von gängigen Betriebssystemen funktioniert. Dazu gehören beliebte Linux-Distributionen (wie Red Hat Enterprise Linux, Debian und Ubuntu), sowie Solaris und FreeBSD. Ein Builder wird verwendet, um die einzelnen Stämme zu erzeugen, und es hilft den Betreibern Aeris gegen Ziele zu starten. Seine Eigenschaften Liste umfasst die folgenden Funktionen:
- Eigenständiges und kollidieren basierte Unterstützung HTTPS LP
- SMTP-Protokoll-Unterstützung
- TLS verschlüsselte Kommunikation mit gegenseitiger Authentifizierung (Anhängen C und D)
- Die Kompatibilität mit der NOD Cryptographic Spezifikation (Anhängen C und D)
- Strukturierte Kommando und Kontrolle, die auf die von mehreren Windows verwandt ähnlich ist
implantieren- (Abschnitt IV) - Automatisierte Datei exfiltration (Abschnitt IV)
- Einfache und flexible Bereitstellung und Installation (Abschnitt III).
Das Aeris Implantat muss manuell von den CIA-Agenten eingesetzt werden,. Es kann über die mitgelieferten Netzwerkserver an die Spionage-Agentur berichten. Dies erfolgt über eine sichere Verbindung (Verwendung des HTTPS-Protokolls) Da jedes Implantat Instanz eine eindeutige Zertifizierungsstelle.
Weitere CIA Spyware-Tools Erwartet Von Wikileaks
Wikileaks veröffentlichen ständig neue Informationen über die Spionage-Operationen von der CIA und anderen Behörden der Vereinigten Staaten von Amerika eingeführt. Ein großer Teil der Werkzeuge wurden vor einigen Jahren und sind wahrscheinlich nicht aktiv nicht mehr verwendet werden. Dies kann bedeuten, dass die Agenturen sind jetzt eine neue Generation von Werkzeugen, die derzeit noch unbekannt für die breite Öffentlichkeit und die Sicherheits-Community sind. Wir gehen davon aus, dass, wenn solche Werkzeuge existieren sie wahrscheinlich eine weiterentwickelte Bedrohung für die Sicherheit aller Computer-Nutzer sind weltweit.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: