Wikileaks onthuld 3 meer spyware documenten van de CIA Vault 7 lekken. De release is onderdeel van een project genaamd “keizerlijk” dat bestaat uit drie geavanceerde hacking tool om bespioneren gebruikers wereldwijd. Ze zijn Achilles genoemd, SeaPea en Aeris gebruikt om Mac OS X en Linux-systemen te infiltreren.
CIA Vault 7 Leak onthult Achilles - Mac OS X Trojan
De CIA operators maken gebruik van de Achilles hacking tool om legitieme MAC OS X installateurs wijzigen. De vrijgegeven documenten blijkt dat de eerste grote versie werd gemaakt in 2011. Echter eigenlijke testen van de software zijn gedaan in 2009 met een versie van Mac OS X 10.6 met een eerdere build. Het bestaat uit een verzameling van shell scripts uitgevoerd met behulp van de BASH command shell. Ze geven de CIA de mogelijkheid om belangrijke variabelen die leiden tot eenmalige willekeurige commando's te wijzigen.
De gewijzigde installeren bestanden worden gemaakt om te kijken als het origineel bronbestanden. Wanneer de slachtoffers uit te voeren ze op hun systeem een melding prompt die hen vraagt om de software te slepen naar het Toepassingsmappartities. Nadat het programma wordt uitgevoerd voor de eerste keer alle legitieme uitvoerbare bestanden om geen argwaan niet te verhogen. De schadelijke code wordt parallel uitgevoerd en Achilles code wordt verwijderd nadat het programma is afgelopen. Dit wordt gedaan om alle sporen van de schadelijke injectie verwijderen.
SeaPea Mac OS X Rootkit Ontwikkeld door CIA Vault 7
SeaPea is een specialist Mac OS X rootkit gemaakt door de CIA-agenten, zoals beschreven in de Vault 7 lek. Het is in staat om zowel zichzelf te verbergen tegen detectie en start gevaarlijke opdrachten op de geïnfecteerde computers. Het is compatibel met Mac OS X-versies 10.6 en 10.7 in zowel hun 32 en 64-bits versies. Met behulp van de SeaPea spyware de gebruikers kunnen de gevaarlijke bestanden te verbergen en ook de lancering verschillende opdrachten.
Om effectief te zijn de CIA-agenten moeten een tweetraps infectie aanpak:
- SeaPea Building - Dit is een geklasseerd python script dat gevallen van de SeaPea rootkit creëert. Het kan worden aangepast om een vooraf bepaald gedragspatroon volgen zodra de infectie geïnitieerd.
- Attack Initiation - Dit is de tweede infectie module die deel uitmaakt van de SeaPea Mac OS X rootkit. Het is een script dat wordt gebruikt om de infiltratie aanvallen te lanceren.
Configuratie-opties omvatten de rootkit startup directory, implantaat directory, persistentie file, scripts lijst, loader ea. De CIA heeft verschillende soorten installatie gemaakt - verse installatie (met een stop-file), update naar bestaande infecties en een aparte “geen verwijderen” optie die de installateur self-delete-functie verbiedt. Als het installatieprogramma fouten tegenkomt tijdens de infectiefase een foutcode wordt gegenereerd om de standaard uitvoer. De SeaPea malware root toegang nodig om succesvol te infiltreren de systemen. Mogelijke fouten zijn: geformatteerd harde schijf, versie-upgrade, onjuiste parameters.
De rootkit volgt op een reeks infectie routine door eerst te controleren of er kernel panics. De motor bepaalt vervolgens de exacte besturingssysteem en de versie van de kernel. Afhankelijk van de Mac OS X-versie de juiste rootkit-versie wordt geladen. De loader initieert een zelfdiagnose om ervoor te zorgen dat alle onderdelen goed werken. De motor kent processen tot drie vooraf gedefinieerde categorieën: normaal, De elite (verborgen voor de normale en elite processen, ze kunnen hun eigen activiteit niet bekijken) en Super-Elite (het kan alle activiteiten bekijken en is verborgen voor andere processen). Proces categorie wijzigingen worden aangebracht met behulp van gespecialiseerde commando's.
Aeris is een geautomatiseerde Implant Gemaakt door de CIA
Dit is een automatisch implantaat geschreven in de C programmeertaal die werkt met een uitgebreide lijst van populaire besturingssystemen. Dit geldt ook voor populaire Linux-distributies (zoals Red Hat Enterprise Linux, Debian en Ubuntu), evenals Solaris en FreeBSD. Een bouwer wordt gebruikt om de individuele stammen te genereren en het helpt de operatoren om Aeris lanceren tegen doelen. De lijst met functies onder meer de volgende mogelijkheden:
- Standalone en Collide-gebaseerde HTTPS LP support
- protocolondersteuning SMTP
- TLS-gecodeerde communicatie met wederzijdse authenticatie (Bijlagen C en D)
- Verenigbaarheid met de NOD Cryptographic Specification (Bijlagen C en D)
- Gestructureerde commando en controle die vergelijkbaar is met die welke wordt gebruikt door verschillende Windows
implantaat- (deel IV) - Geautomatiseerde file exfiltratie (deel IV)
- Eenvoudige en flexibele inzet en installatie (sectie III).
De Aeris implantaat moet handmatig worden ingezet door de CIA-agenten. Het kan rapporteren aan de spionage agentschap via de meegeleverde, netwerkservers. Dit wordt gedaan via een beveiligde verbinding (gebruik het HTTPS-protocol) als elk implantaat instantie heeft een unieke certificaatautoriteit.
Verdere CIA Spyware Hulpmiddelen verwacht van Wikileaks
Wikileaks voortdurend nieuwe informatie over de spionage operaties ingesteld door de CIA en andere agentschappen van de Verenigde Staten van Amerika plaatsen. Een groot deel van de instrumenten zijn een aantal jaren geleden gemaakt en worden waarschijnlijk niet actief meer gebruikt. Dit kan betekenen dat de agentschappen nu gebruik maakt van een nieuwe generatie van instrumenten die nog zijn onbekend bij het grote publiek en de veiligheid gemeenschap. We gaan ervan uit dat, indien dergelijke instrumenten bestaan zijn ze waarschijnlijk een geëvolueerde bedreiging voor de veiligheid van alle computergebruikers wereldwijd.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: