Uno de los mayores escándalos de 2017, la que implica WikiLeaks y la CIA, está aumentando por minutos. Ahora se sabe que uno de los equipos de la agencia se especializa en la reutilización de fragmentos de código y técnicas tomadas de muestras de malware ... públicas.
El equipo en cuestión es apodado Umbrage y es parte de la Subdivisión de Fomento a distancia bajo Centro de la CIA para Cyber Inteligencia. El equipo mantiene una biblioteca de técnicas tomadas de software malicioso de bienes utilizados en ataques reales en la naturaleza. Este "conocimiento prestado" se aplica en una serie de proyectos de la CIA.
¿Qué tipo de técnicas tiene Umbrage Tomado de la Vida Real-malware?
El archivo limpiando aplicación de los programas maliciosos limpiaparabrisas Shamoon se ha utilizado. Como escribimos ayer, el malware de limpiaparabrisas acaba de regresar con una segunda versión, junto con un trozo doblado StoneDrill recién descubierto.
Relacionado: StoneDrill, Shamoon 2.0: Limpiador Malware Getting Better
primera edición de Shamoon se utilizó en un comercial, controlador firmado digitalmente llama RawDisk por una empresa llamada Eldos. El controlador permite aplicaciones para sobrescribir archivos incluso si los archivos están bloqueados por los sistemas operativos. Sólo necesita ser instalado en un sistema de.
Lo que el equipo Umbrage hizo fue analizar cómo los codificadores de Shamoon omiten la comprobación de la licencia para el conductor y RawDisk aplican la misma técnica de borrado de disco en su propio pedazo de rebote llamado. Más información está disponible en el Wikileaks página.
Curiosamente, se considera posible que un programa anti-malware o incluso un investigador de malware podrían encontrarse con el rebote de la CIA en la naturaleza y en realidad identificarlo como una variación de Shamoon!
Además Shamoon, equipo especial de la CIA también ha sido el uso de otras técnicas y fragmentos de código tomadas de programas maliciosos conocidos. El repositorio obtenido por Umbrage podría ser utilizado para una variedad de razones tales como la recopilación de datos, sigilo, sin pasar por los productos AV, persistencia, escalada de privilegios, etc.
Relacionado: Equipo de Hacking Parcelas Anti-Encryption, Galileo herramientas para el FBI
Éstos son algunos otros ejemplos: una técnica persistencia fue tomado de la ver rootkit; dos técnicas anti-sandboxing fueron tomados de Trojan Upclicker y Nuclear Exploit Pack; una técnica de captura de cámara web fue tomado de la DarkComer RAT. Curiosamente, También se tomaron otras técnicas pero las piezas exactas de malware que se tomaron de que no se especifica en los documentos.
Los nombres de código para algunos de los proyectos internos que utilizan el malware reutilizados se enumeran. Sin embargo, no hay casi ninguna información sobre lo que realmente podrían hacer. Hubo una excepción, sin embargo, apodado SandShark. Se encontró en otro documento como software "puesto de escucha", informa NetworkWorld. No obstante, no es difícil suponer cómo fueron aprovechadas las técnicas tomadas, ya que de alguna manera se infiere de su funcionalidad.
No es sorprendente, Umbrage también fue atraído por el código de filtrado desde el Equipo de Hacking 2015.
Relacionado: Hablar(un)r Prueba de concepto malware Activa los auriculares en espías