Um dos maiores escândalos de 2017, aquele envolvendo o WikiLeaks e a CIA, está aumentando a cada minuto. Sabe-se agora que uma das equipes da agência é especializada em reutilizar trechos de código e técnicas retirados de… amostras públicas de malware.
A equipe em questão é apelidada de Umbrage e faz parte da Seção de Desenvolvimento Remoto do Centro de Inteligência Cibernética da CIA. A equipe mantém uma biblioteca de técnicas tiradas de malware real usado em ataques reais na natureza. Este “conhecimento emprestado” é aplicado em uma série de projetos da CIA.
Que tipo de técnicas o Umbrage pegou emprestado do malware da vida real?
A implementação de limpeza de arquivo do malware Wiper Shamoon foi usada. Como escrevemos ontem, o malware do limpador acaba de retornar com uma segunda versão, junto com uma peça recém-descoberta apelidada de StoneDrill.
relacionado: StoneDrill, Shamoon 2.0: Wiper Malware Getting Better
A primeira edição do Shamoon foi usada em um comercial, driver assinado digitalmente chamado RawDisk por uma empresa chamada Eldos. O driver permite que os aplicativos substituam os arquivos, mesmo se os arquivos estiverem bloqueados pelos sistemas operacionais. Ele só precisa ser instalado em um sistema.
O que a equipe Umbrage fez foi analisar como os programadores do Shamoon contornaram a verificação de licença do driver RawDisk e aplicaram a mesma técnica de limpeza de disco em sua própria peça chamada Rebound. Mais informações estão disponíveis no Wikileaks página.
Curiosamente, é considerado possível que um programa anti-malware ou mesmo um pesquisador de malware possa encontrar o CIA's Rebound in the wild e realmente identificá-lo como uma variação do Shamoon!
Além do Shamoon, a equipe especial da CIA também tem usado outras técnicas e snippets de código retirados de malware conhecido. O repositório obtido pela Umbrage pode ser usado por uma série de razões, como coleta de dados, furtividade, contornando produtos AV, persistência, escalação de privilégios, etc.
relacionado: Hacking Team Resinas Anti-Encryption, Ferramentas Galileo para o FBI
Aqui estão vários outros exemplos: uma técnica de persistência foi retirada do HiKit rootkit; duas técnicas anti-sandboxing foram emprestadas de Trojan Upclicker e Pacote de exploração nuclear; uma técnica de captura de webcam foi tirada do DarkComer RAT. Curiosamente, outras técnicas também foram obtidas, mas as partes exatas de malware de onde foram retiradas não foram especificadas nos documentos.
Os nomes de código para alguns dos projetos internos que usaram malware reaproveitado são listados. Contudo, quase não há informações sobre o que eles realmente poderiam fazer. Houve uma exceção, Contudo, apelidado de Sandshark. Foi encontrado em outro documento como software “Listening Post”, Relatórios NetworkWorld. Não obstante, não é difícil supor como as técnicas emprestadas foram aproveitadas, pois é de alguma forma inferido por sua funcionalidade.
não é de surpreender, Umbrage também foi atraído pelo código que vazou da equipe de hackers em 2015.
relacionado: Falar(uma)r Prova de Conceito Malware Transforma auscultadores em Spies
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: