venerdì 10 marzo 2017

Vault 7: il cyberarsenale della CIA

Wikileaks ha pubblicato 8761 documenti riservati della CIA, nell’ambito di ‘Cassaforte 7’, provenienti dal Center For Cyber Intelligence della CIA di Langley. I documenti provengono dall’informatore interno alla CIA ‘Year Zero’, che ha rivelato il “programma di haceraggio globale segreto” della CIA, tra cui “exploit”, utilizzato contro prodotti come “iPhone di Apple, Android di Google e Windows di Microsoft, e persino contro i televisori Samsung, tramutandoli in microfoni occulti“. “La CIA era riuscita a bypassre la crittografia dei servizi cellulari e di messaggistica più popolari: Sienal, WhatsApp e Telegram“. Secondo Wikileaks, gli hacker della CIA possono penetrare i telefonini Android e raccogliere “traffico audio e messaggi prima dell’attivazione della crittografia“.

Un’altra rivelazione è che la CIA attua cyberattacchi “false flag” per accusare la Russia degli attacchi informatici. Compito assegnato al ramo dispositivi remoti di UMBRAGE della CIA, che raccoglie e conserva in una biblioteca virtuale le tecniche di attacco ‘rubate’ dai malware prodotti dalla Federazione Russa e da altri Stati. “Con il programma UMBRAGE, e correlati, non solo la CIA può aumentare i suoi attacchi, ma sviarne l’attribuzione lasciando “impronte digitali” dei gruppi a cui le tecniche di attacco sono state rubate. I componenti di UMBRAGE coprono keylogger, password, pirataggio di webcam, distruzione dati, persistenza, scalata di privilegio, furtività, anti-virus, tecniche di elusione e d’indagine“. Quindi, la CIA utilizza tali tecniche per attribuire i propri attacchi informatici a Stati nemici.

Un’altra tecnica è Weeping Angel, sviluppata dall’Embedded Devices Branch (EDB) della CIA, in collaborazione con l’MI5/OPI del Regno Unito, per infettare i televisori intelligenti, trasformandoli in microfoni occulti, ponendo la TV attaccata in modalità ‘Fake-Off’, così il proprietario ritiene erroneamente che il televisore sia spento quando invece è acceso e registra le conversazioni nella stanza che invia via Internet ad un server segreto della CIA. “La CIA ha mutato Smart TV, iPhone, console di videogiochi e molti altri gadget in microfoni aperti, e fatto di tutti i PC Microsoft Windows una rete spyware mondiale, che può attivare via backdoor su richiesta, anche attraverso l’aggiornamento di Windows“. La CIA attua un ampio programma per infettare e controllare i PC Microsoft Windows con i propri malware, come Zero Days, Hammer Drill, che infetta il software distribuito su CD/DVD o USB, e Brutal Kangaroo per nascondere dati e immagini in aree nascoste degli hard disk e permettere le infestazioni coi malware.

Il Ramo dispositivi mobili della CIA (Mobile Development Branch – MDB) attuò numerosi attacchi remoti contro i cellulari, che una volta infettati possono essere programmati per inviare alla CIA dati su geolocalizzazione, audio e di testo degli utenti, così come attivare di nascosto fotocamera, videocamera e microfono del cellulare. Un’unità specializzata del Mobile Development Branch produce il malware per infestare, controllare ed esfiltrare dati dagli iPhone e altri prodotti Apple iOS, come l’iPad. L’arsenale della CIA comprende numerosi malware locali e remoti “zero days” sviluppati dalla CIA o dai rami cibernetici di GCHQ, NSA, FBI e aziende come Baitshop

Egualmente accade per Android di Google, utilizzato per gestire i cellulari smart Samsung, HTC e Sony. Nel 2016 la CIA aveva 24 tipi di malware “Zero days” per Android, sviluppati da CIA, GCHQ, NSA e aziende di cyberarmi. Tali tecniche permettono alla CIA di aggirare la crittografia di WhatsApp, Signal, Telegram, Wiebo, Confide e Cloackman ed hackerare i telefoni “intelligenti” su cui operano raccogliendone il traffico audio e messaggistico, prima che sia applicata la crittografia. 

I malware della CIA attaccano anche i router di Windows, OSX, Linux. E neanche le automobili sfuggono, “Dall’ottobre 2014, la CIA cercava d’infettare i sistemi di controllo utilizzati dagli autoveicoli moderni. Lo scopo di ciò non fu specificato, ma avrebbe permesso alla CIA di commettere omicidi quasi non rilevabili”.

Alla fine del 2016, la divisione hacking della CIA, sotto il centro dell’Agenzia per la Cyberintelligence (CCI), aveva oltre 5000 utenti registrati e prodotto più di un migliaio di sistemi di hacking, trojan, virus e altri malware. La CIA aveva creato, quindi, la “propria NSA”, ancora più segreta. Tale cyberarsenale è prodotto dall’EDG (Engineering Development Group), divisione sviluppo software del CCI (Center for Cyber Intelligence) della DDI (Direzione Digitale per l’Innovazione). La DDI è una delle cinque principali sezioni della CIA. Infine, CIA e NSA ricorrono anche a fornitori privati, come la Booze Allan Hamilton.

Molti programmi sono affidati all’Automated Implant Branch (AIB) della CIA, che ha sviluppato diversi sistemi di attacco automatizzato dei malware per infestare e controllare, come ad esempio Assassin e Medusa. Gli attacchi contro le infrastrutture di Internet e i web server sono sviluppati dalla Network Devices Branch (NDB) della CIA, come i malware automatizzati multi-piattaforma d’attacco e monitoraggio occulti per Windows, MacOSX, Solaris e Linux, come “HIVE”, “Cutthroat” e “Swindle”.

 

Il Consolato degli USA a Francoforte è una base segreta degli hacker della CIA
 
Oltre alle operazioni da Langley, in Virginia, negli USA, la CIA utilizza anche il consolato degli Stati Uniti di Francoforte come base segreta per gli attacchi hacker contro Europa, Medio Oriente e Africa. 

Il centro di Francoforte si chiama Center of Cyber Intelligence in Europe (CCIE) e gli operatori ricevono passaporti diplomatici e copertura dal dipartimento di Stato degli USA. Una volta a Francoforte, gli hacker della CIA possono viaggiare senza controlli nei 25 Paesi europei che fanno parte dell’area Schengen, tra cui Francia, Italia e Svizzera. 

Questi hacker s’infiltrano fisicamente nei centri presi di mira, e utilizzando le USB infettano i computer e relativi supporti con il malware appositamente sviluppato dalla CIA. Il sistema di attacco Fine Dining fornisce 24 coperture per la gestione del malware. In sostanza, ad un eventuale testimone, l’hacker sembrerebbe utilizzare un programma video (ad esempio il VLC), o di presentazione di diapositive (Prezi), un videogioco (Breakout2, 2048) o un finto programma antivirus (Kaspersky, McAfee, Sophos). Ma mentre l’applicazione esca appare sullo schermo, il sistema viene infettato ed esfiltrato automaticamente.

 

L’EDG della CIA si occupa di circa 500 progetti, ciascuno con i propri sotto-progetti, malware e strumenti hacker, utilizzati per penetrare, infestare, controllare ed esfiltrare dati.

UMBRAGE è il ramo della CIA che crea dispositivi remoti per raccogliere e conservare una biblioteca delle tecniche di attacco ‘rubate’ dai malware prodotti negli altri Stati.

Fine Dining, è il questionario standardizzato utilizzato dall’Operational Support Branch della CIA per le richieste avanzate dagli agenti sui requisiti tecnici richiesti per le operazioni specifiche di attacchi hacker. L’OSB opera da interfaccia tra il personale operativo della CIA e il personale tecnico. 

Nella lista dei possibili bersagli vi sono ‘asset’, ‘liason asset’, ‘amministratore di sistema’, agenzie d’intelligence estere, agenzie governative estere. Mancano estremisti e criminali. Si chiede anche di specificare l’ambiente del bersaglio, come il tipo di computer, sistema operativo utilizzato, connettività Internet, antivirus installato e tipi di file da sottrarre. Queste informazioni vengono usate dal software ‘JQJIMPROVISE’, per configurare i malware adatti alle esigenze specifiche dell’operazione.

‘JQJIMPROVISE’, è un set di strumenti per la configurazione, post-elaborazione, riconfigurazione e selezione degli strumenti di indagine/esfiltraizone presenti nei sistemi operativi Windows (Bartender), MacOS (JukeBox) e Linux (DanceFloor).

HIVE, è una suite multi-piattaforma di malware della CIA e relativo software di controllo. Il programma prevede impianti personalizzabili per Windows, Solaris, MikroTik (utilizzato nei router Internet) e piattaforme Linux, ed agisce anche da Posto di ascolto (LP)/Comando e controllo (C2) dell’infrastruttura per comunicare con questi impianti malware. Gli impianti sono configurati per comunicare tramite HTTPS ai server della rete sotto la copertura di un dominio. 

Questi sistemi hanno propri domini di copertura e l’infrastruttura può gestirne un numero infinito. 

Ogni dominio di copertura fornisce un indirizzo IP presso un provider commerciale (Virtual Private Server). Il server è configurato per l’autenticazione client SSL opzionale: se un client invia un certificato valido, la connessione viene inoltrata al ToolServer Honeycomb che comunica con l’impianto; se un certificato valido non è presente (se qualcuno per caso tenta di aprire il sito del dominio coperto), il traffico viene inoltrato a un server di copertura che porta al sito web cercato. Il ToolServer di HIVE riceve i dati esfiltrati dall’impianto, e un operatore può utilizzare lo stesso impianto per lavorare sul computer infettato, così il ToolServer funge anche da server C2 (comando e controllo) dell’impianto malware.

Alessandro Lattanzio, 9 marzo 2017

 

Nessun commento:

Posta un commento