Wikileaks revelou 3 mais documentos spyware provenientes da CIA Vault 7 vazamentos. O lançamento é parte de um projeto chamado “Imperial” que inclui três ferramenta de corte avançado usado para espionar os usuários em todo o mundo. Eles são chamados de Aquiles, SeaPea e Aeris usados para se infiltrar em sistemas Mac OS X e Linux.
Cofre da CIA 7 Vazamento revela Achilles – Trojan Mac OS X
Os operadores da CIA utilizam a ferramenta de hackers Achilles para modificar instaladores legítimos do MAC OS X. A documentação divulgada mostra que a primeira versão principal foi feita em 2011. No entanto, testes reais do software foram feitos em 2009 com versão Mac OS X 10.6 com uma construção anterior. Consiste em uma coleção de scripts de shell executados usando o shell de comando BASH. Eles dão à CIA a capacidade de modificar variáveis importantes que levam à execução de comandos arbitrários uma única vez.
Os arquivos de instalação modificados são feitos para se parecerem com os arquivos de origem originais. Quando as vítimas os executam em seu sistema, um prompt de notificação solicita que arraste o software para o diretório do aplicativo. Depois que o programa for executado pela primeira vez, todos os arquivos executáveis legítimos para não levantar suspeitas. O código malicioso é executado em paralelo e o código de Aquiles é removido após o término do programa. Isso é feito para remover todos os vestígios da injeção maliciosa.
SeaPea Mac OS X Rootkit Desenvolvido pela CIA Vault 7
SeaPea é um rootkit especializado para Mac OS X feito pelos agentes da CIA conforme descrito no Vault 7 vazamento. É capaz de se esconder da detecção e lançar comandos perigosos nas máquinas infectadas. É compatível com versões do Mac OS X 10.6 e 10.7 em ambos os seus 32 e versões de 64 bits. Usando o spyware SeaPea, os usuários podem ocultar o arquivo perigoso e também iniciar vários comandos.
Para serem eficazes, os agentes da CIA precisam usar uma abordagem de infecção em dois estágios:
- Edifício SeaPea — Este é um script python classificado que cria instâncias do rootkit SeaPea. Pode ser personalizado para seguir um padrão de comportamento predefinido assim que a infecção for iniciada.
- Iniciação de Ataque — Este é o segundo módulo de infecção que faz parte do rootkit SeaPea Mac OS X. É um script que é usado para lançar os ataques de infiltração.
As opções de configuração incluem o diretório de inicialização do rootkit, diretório de implantes, arquivo de persistência, lista de scripts, carregador e outros. A CIA fez vários tipos de instalação - instalação nova (com um arquivo de parada), atualização para infecções existentes e um “sem excluir” opção que desabilita o recurso de autoexclusão do instalador. Se o instalador encontrar algum erro durante a fase de infecção, um código de falha será gerado na saída padrão. O malware SeaPea requer acesso root para se infiltrar com sucesso nos sistemas. Possíveis erros incluem: disco rígido reformatado, atualização de versão, parâmetros incorretos.
O rootkit segue uma rotina de infecção definida, verificando primeiro qualquer kernel panic. O mecanismo então determina o sistema operacional exato e a versão do kernel. Dependendo da versão do Mac OS X, a versão apropriada do rootkit é carregada. O carregador inicia um autodiagnóstico para garantir que todos os componentes funcionem corretamente. O mecanismo atribui processos a três categorias predefinidas: Normal, Elite (escondido dos processos normais e de elite, eles não podem ver sua própria atividade) e super-elite (ele pode visualizar todas as atividades e está oculto de outros processos). As alterações de categoria de processo são feitas usando comandos especializados.
Aeris é um implante automatizado feito pela CIA
Este é um implante automatizado escrito na linguagem de programação C que funciona com uma ampla gama de sistemas operacionais populares. Isso inclui distribuições Linux populares (como o Red Hat Enterprise Linux, Debian e Ubuntu), bem como Solaris e FREEBSD. Um construtor é usado para gerar as cepas individuais e ajuda os operadores a lançar o Aeris contra alvos. Sua lista de recursos inclui os seguintes recursos:
- Suporte a HTTPS LP autônomo e baseado em colisão
- Suporte ao protocolo SMTP
- Comunicações criptografadas TLS com autenticação mútua (Apêndices C e D)
- Compatibilidade com a Especificação Criptográfica NOD (Apêndices C e D)
- Comando e controle estruturados semelhantes aos usados por vários Windows
implantar- (seção IV) - Exfiltração automatizada de arquivos (seção IV)
- Implantação e instalação simples e flexível (seção III).
O implante Aeris precisa ser implantado manualmente pelos agentes da CIA. Ele pode reportar à agência de espionagem por meio de servidores de rede fornecidos. Isso é feito usando uma conexão segura (empregando o protocolo HTTPS) pois cada instância de implante tem uma autoridade de certificação exclusiva.
Outras ferramentas de spyware da CIA esperadas do Wikileaks
Wikileaks publica continuamente novas informações sobre as operações de espionagem instituídas pela CIA e outras agências dos Estados Unidos da América. Uma grande parte das ferramentas foi feita há vários anos e provavelmente não está mais sendo usada ativamente. Isso pode significar que as agências estão agora usando uma nova geração de ferramentas que ainda são desconhecidas do público em geral e da comunidade de segurança. Presumimos que, se tais ferramentas existirem, elas provavelmente são uma ameaça evoluída à segurança de todos os usuários de computador em todo o mundo.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: