AfterMidnight e Assassin Malware della CIA

AfterMidnight e Assassin Malware della CIA

WikiLeaks Vault 7

 

cia-windows-malware-network-vault-7.jpg

AfterMidnight e Assassin Malware della CIA WikiLeaks Vault 7.

Da The Hacker News.

Mentre il mondo a che fare con la minaccia di auto-diffusione di WannaCry Ransomware, Wikileaks ha pubblicato un nuovo lotto di Vault 7 della CIA, specificando due framework di malware CIA per la piattaforma Microsoft Windows.

Soprannominati “AfterMidnight” e “Assassin“, entrambi programmi malware sono progettati per monitorare e riferire le azioni sul computer infetto che esegue il sistema operativo Windows ed eseguire azioni malevoli specificate dalla CIA.

 la-pirateria-mascherata-della-cia-wikileaks-marble-vault-7.jpg

La Pirateria Mascherata della CIA WikiLeaks

Dal Mese di marzo, WikiLeaks ha pubblicato centinaia di migliaia di documenti e strumenti di hacking segreti che provenivano dalla CIA Statunitense. Questo ultimo gruppo è l’8° ad essere divulgato della serie chiamata Vault 7.

Malware AfterMidnight

Secondo una dichiarazione da Wikileaks, ‘AfterMidnight’ permette ai suoi operatori di caricare ed eseguire payload maligni su un sistema di destinazione in modo dinamico.

Il controller principale del payload maligno, travestito come un file di auto-persistente di Libreria di Collegamento Dinamico (DLL) Windows esegue “Gremlins“, piccole utilità che rimangono nascoste sul computer di destinazione sovvertendo la funzionalità del software mirato dall’attacco, sorvegliando il bersaglio, o fornire servizi per altri gremlins.

AfterMidnight e Assassin Malware della CIA Tweet WikiLeaks

Weeping Angel Malware

Una volta installato su un computer di destinazione, AfterMidnight utilizza un sistema basato su HTTPS Listening Post (LP) denominata “Octopus” per verificare eventuali eventi programmati.

Se ne trovato uno, il malware scarica scarica e salva tutti i componenti necessari prima di caricare tutti i nuovi gremlins in memoria.

Secondo la guida all’uso fornita nell’ultimo batck da WikiLeaks, la memorizzazione locale di AfterMidnight viene crittografata con una chiave che non è memorizzato sul computer di destinazione.

Un carico speciale, chiamato “AlphaGremlin” contiene un linguaggio di script personalizzato che permette agli operatori di pianificare attività personalizzate da eseguire sul sistema di destinazione.

 

dark-matter-malware.jpg

Dark Matter Malware

 grasshopper-malware.jpg

Grasshopper Malware

Assassin si compone di quattro sottosistemi: Implant, Builder, Command and Control, and Listening Post(Impianto, Costruttore, Comando e Controllo, Punto di Ascolto).

Malware Assassin

Assassin è anche simile a AfterMidnight ed è descritto come “un impianto automatizzato che fornisce una semplice piattaforma di raccolta su computer remoti che eseguono il sistema operativo Microsoft Windows“.

Una volta installato sul computer di destinazione, questo strumento esegue l’impianto all’interno di un processo di servizio di Windows, che consente agli operatori di eseguire attività dannose su una macchina infetta, proprio come AfterMidnight.

 

scribble-malware.jpg

Grasshopper Malware

  • L’Impianto fornisce il nucleo della logica di funzionamento di questo strumento su una macchina Windows di destinazione, incluse le comunicazioni e l’esecuzione dell’attività. Si è configurato utilizzando il ‘Costruttore’ e distribuito a un computer di destinazione tramite qualche vettore indefinito.
  • Il Costruttore configura l’Impianto e la ‘distribuzione dei file eseguibili’ prima della distribuzione e “fornisce un’interfaccia a riga di comando personalizzato per impostare la configurazione dell’impianto prima di generarlo”, si legge dello strumento manuale d’uso.
  • Il sottosistema Comando e Controllo funge da interfaccia tra l’operatore e il Posto di Ascolto (LP), mentre l’LP permette all’Impianto Assassin di comunicare con il sottosistema di comando e controllo attraverso un server web.

La scorsa settimana, WikiLeaks ha divulgato uno strumento di attacco man-in-the-middle (MitM), chiamato Archimede , presumibilmente creato dalla CIA per attaccare i computer di destinazione all’interno di una rete locale (LAN).

Questa pratica da parte delle agenzie di intelligence degli Stati Uniti di tenere nascoste le vulnerabilità, invece di rivelare ai venditori di software, ha raso al suolo tutto il mondo negli ultimi 3 giorni, in cui il ransomware WannaCry ha colpito i computer in 150 paesi utilizzando un difetto SMB che la NSA ha scoperto e ha tenuto segreto, ma che “The Shadow Brokers” ha successivamente fatto trapelare più di un mese fa.

Microsoft accusa la NSA per il suo ruolo nell’attacco ‘WannaCry’

Anche il presidente Microsoft Brad Smith ha condannato la pratica dell’agenzia di intelligence degli Stati Uniti, dicendo che il “danno diffuso” causato da WannaCry è accaduto a causa della NSA, CIA e altre agenzie di intelligence per avere tenuto nascoste le vulnerabilità di sicurezza.

Questo è un modello emergente nel 2017. Abbiamo visto le vulnerabilità memorizzati dalla CIA che appaiono su Wikileaks, e ora queste vulnerabilità rubate alla NSA hanno colpito i clienti di tutto il mondo“, ha detto Smith.

 

marble-malware.jpg

Grasshopper Malware

 year-zero-malware.jpg

Year Zero Malware

Dal mese di marzo, il gruppo di whistleblowers ha pubblicato 8 lotti della serie Vault 7 che sono i seguenti, oltre a questi ultimi 2 e Archimede.

Year Zero – Anno Zero – hacking della CIA per piratare l’hardware e il software popolari.

Weeping Angel – Angelo Piangente – strumento di spionaggio utilizzati dall’agenzia per infiltrarsi in Smart TV, trasformandoli in microfoni nascosti.

Dark Matter – Materia Scura – incentrato sulla pirateria informatica sfruttata dall’agenzia e creata per identificare iPhone e Mac.

Marble – Marmo – ha rivelato il codice sorgente di un quadro segreto anti-forense, in pratica un offuscatore o di un software utilizzato dalla CIA per nascondere la vera fonte del suo malware.

Grasshopper – Cavalletta – un framework che ha permesso all’agenzia per creare facilmente dei malware personalizzati per la craccatura di Windows e bypassando la protezione antivirus.

Scribbles – Scarabocchi – un software presumibilmente progettato per incorporare un ‘web beacon’ nei documenti riservati, permettendo all’agenzia di spionaggio di monitorare addetti ai lavori e gli informatori.

Annunci

Informazioni su vaturu

I am a sardinian patriot
Questa voce è stata pubblicata in Uncategorized. Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...