L'un des plus grands scandales de 2017, celui impliquant WikiLeaks et la CIA, est l'escalade à la minute. Il est maintenant connu que l'une des équipes de l'agence est spécialisée dans la réutilisation des morceaux de code et techniques provenant ... échantillons de logiciels malveillants publics.
L'équipe en question est surnommé Umbrage et fait partie de la Direction du développement à distance dans le Centre de la CIA pour Cyber Intelligence. L'équipe maintient une bibliothèque de techniques issues de véritables logiciels malveillants utilisés dans des attaques réelles dans la nature. Cette «connaissance empruntée» est appliquée dans une gamme de projets de la CIA.
Quel genre de techniques a Umbrage Emprunté de Real-Life Malware?
Le fichier essuyant la mise en œuvre du programme malveillant d'essuie-glace Shamoon a été utilisé. Comme nous l'écrivions hier, le malware d'essuie-glace vient de rentrer avec une deuxième version, avec un morceau baptisé StoneDrill nouvellement découvert.
en relation: StoneDrill, Shamoon 2.0: Wiper Malware Getting Better
La première édition de Shamoon a été utilisée dans une publicité, pilote signé numériquement appelé rawdisk par une société nommée Eldos. Le pilote permet aux applications d'écraser des fichiers même si les fichiers sont verrouillés par les systèmes d'exploitation. Elle ne doit être installé sur un système.
Qu'est-ce que l'équipe de Umbrage a fait était d'analyser comment les codeurs de Shamoon contournés la vérification de licence pour le pilote rawdisk et appliqué la même technique disque d'essuyage dans leur propre morceau Rebound nommé. Plus d'informations sont disponibles sur le Wikileaks page.
Avec curiosité, il est jugé possible qu'un programme anti-malware ou même un chercheur de logiciels malveillants pourraient rencontrer le rebond de la CIA dans la nature et en fait l'identifier comme une variation de Shamoon!
Outre Shamoon, l'équipe spéciale de la CIA a également eu recours à d'autres techniques et des extraits de code tirés de logiciels malveillants connus. Le dépôt obtenu par Umbrage pourrait être utilisé pour une série de raisons telles que la collecte de données, furtif, en contournant les produits AV, persistance, escalade de privilège, etc.
en relation: Hacking équipe Emplacements Anti-Encryption, Outils Galileo au FBI
Voici plusieurs autres exemples: une technique de persistance a été prise à partir de la voir rootkit; deux techniques anti-sandboxing ont été empruntés Trojan Upclicker et Exploit nucléaire pack; une technique de capture webcam a été prise à partir de la DarkComer RAT. Intéressant, d'autres techniques ont également été prises mais les pièces exactes de logiciels malveillants, ils ont été prélevés ne sont pas précisés dans les documents.
Les noms de code pour certains des projets internes qui utilisaient des logiciels malveillants repurposed sont répertoriés. Cependant, il n'y a presque aucune information sur ce qu'ils ont réellement pu faire. Il y avait une exception, cependant, surnommé Sandshark. Il a été trouvé dans un autre document comme "Listening Post" logiciel, rapports NetworkWorld. Cependant, il est pas difficile de supposer comment les techniques empruntés ont été mis à profit comme il est en quelque sorte inféré par leur fonctionnalité.
Sans surprise, Umbrage a également été attiré par le code de fuite de l'équipe Hacking dans 2015.
en relation: Parler(une)r Proof-of-Concept Malware Active Headphones dans Spies
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: