WikiLeaks a révélé 3 plus de documents provenant de logiciels espions de la CIA Vault 7 fuites. La publication fait partie d'un projet appelé “Impérial” qui comprend trois outils de piratage informatique de pointe utilisé pour espionner les utilisateurs dans le monde entier. Ils sont appelés Achille, SeaPea et Aeris utilisés pour infiltrer les systèmes Mac OS X et Linux.
CIA Vault 7 Fuite d'Achille Révèle - Mac OS X cheval de Troie
Les opérateurs de la CIA utilisent l'outil de piratage d'Achille pour modifier légitimes MAC OS X installateurs. La documentation publiée montre que la première version majeure a été faite en 2011. Cependant les tests réels du logiciel ont été fait en 2009 avec la version Mac OS X 10.6 avec une version antérieure. Il se compose d'une collection de scripts shell exécutés en utilisant la commande shell BASH. Ils donnent la CIA la possibilité de modifier des variables importantes qui conduisent à un temps d'exécution de commande arbitraire.
Les fichiers d'installation modifiés sont faits pour ressembler les fichiers source d'origine. Lorsque les victimes les exécutent sur leur système une invite de notification qui leur demande de faire glisser le logiciel dans le répertoire d'applications. Une fois le programme est exécuté pour la première fois tous les fichiers exécutables légitimes afin de ne pas soulever aucun soupçon. Le code malveillant est exécuté en parallèle et le code d'Achille est retiré après la fin du programme. Ceci est fait pour éliminer toute trace de l'injection malveillant.
SeaPea Mac OS X Rootkit Développé par la CIA Vault 7
SeaPea est un spécialiste Mac OS X rootkit faite par les agents de la CIA comme décrit dans le coffre-fort 7 fuite. Il est capable de se cacher à la fois de la détection et de lancer des commandes dangereuses sur les machines infectées. Il est compatible avec Mac OS X versions 10.6 et 10.7 à la fois leur 32 et les versions 64 bits. En utilisant les logiciels espions de SeaPea les utilisateurs peuvent cacher le fichier dangereux et lancer également diverses commandes.
Pour être efficacement les agents de la CIA ont besoin d'utiliser une approche d'infection en deux étapes:
- SeaPea bâtiment - Ceci est un script python annonce qui crée des instances du rootkit SeaPea. Il peut être personnalisé pour suivre un modèle de comportement prédéfini une fois que l'infection est lancée.
- Initiation d'attaque - Ceci est le deuxième module d'infection qui fait partie du rootkit SeaPea Mac OS X. Il est un script qui est utilisé pour lancer les attaques d'infiltration.
Options de configuration incluent le répertoire de démarrage de rootkit, répertoire implant, fichier de persistance, Liste des scripts, chargeur et autres. La CIA a fait plusieurs types d'installation - nouvelle installation (avec un arrêt fichier), mettre à jour les infections existantes et une séparée “pas supprimer” option qui autorise pas le programme d'installation fonction d'auto-suppression. Si le programme d'installation rencontre des erreurs pendant la phase d'infection d'un code d'erreur est généré à la sortie standard. Le malware SeaPea nécessite un accès root pour infiltrer avec succès les systèmes. Les erreurs possibles comprennent: reformaté disque dur, mise à niveau de version, paramètres incorrects.
Le rootkit suit une routine d'infection fixée par la première vérification pour toutes les paniques du noyau. Le moteur détermine alors le système d'exploitation exacte et la version du noyau. Selon la version Mac OS X la version appropriée rootkit est chargée. Le chargeur initie une auto-diagnostic pour vous assurer que tous les composants fonctionnent correctement. Le moteur attribue des processus à trois catégories prédéfinies: Normal, Élite (caché des processus normaux et d'élite, ils ne peuvent pas voir leur propre activité) et Super-Elite (il peut voir toutes les activités et est caché d'autres processus). les changements de catégorie de processus sont effectuées à l'aide des commandes spécialisées.
Aeris est un implant automatisé fabriqué par la CIA
Ceci est un implant automatisé écrit dans le langage de programmation C qui fonctionne avec une large gamme de systèmes d'exploitation. Cela inclut les distributions Linux populaires (comme Red Hat Enterprise Linux, Debian et Ubuntu), ainsi que Solaris et FREEBSD. Un générateur est utilisé pour générer les souches individuelles et aide les opérateurs à lancer Aeris contre des cibles. Sa liste de fonctionnalités comprennent les fonctionnalités suivantes:
- HTTPS autonome et un soutien basé Collide-LP
- le support du protocole SMTP
- TLS communications avec authentification mutuelle Encrypted (Annexes C et D)
- Compatibilité avec le NOD Cryptographic Spécification (Annexes C et D)
- commande structurée et de contrôle qui est similaire à celui utilisé par plusieurs fenêtres
implant- (section IV) - fichier automatisé exfiltration (section IV)
- le déploiement et l'installation simple et flexible (section III).
L'implant Aeris doit être déployée manuellement par les agents de la CIA. Il peut signaler à l'agence d'espionnage via les serveurs de réseau fournis. Cela se fait à l'aide d'une connexion sécurisée (en utilisant le protocole HTTPS) comme chaque instance implant a une autorité de certification unique,.
D'autres CIA Spyware Outils attendus de WikiLeaks
WikiLeaks afficher continously nouvelles informations sur les opérations d'espionnage mis en place par la CIA et d'autres organismes des États-Unis d'Amérique. Une grande partie des outils ont été il y a plusieurs années et ne sont probablement pas activement utilisés plus. Cela peut signifier que les agences utilisent maintenant une nouvelle génération d'outils qui sont encore actuellement inconnus du grand public et la communauté de sécurité. Nous partons du principe que si ces outils existent, ils sont probablement une menace pour Evolved la sécurité de tous les utilisateurs d'ordinateurs dans le monde entier.