Wikileaks ha pubblicato 8761 documenti riservati della CIA, nell’ambito di ‘Cassaforte 7’, provenienti dal Center For Cyber Intelligence
della CIA di Langley. I documenti provengono dall’informatore interno
alla CIA ‘Year Zero’, che ha rivelato il “programma di haceraggio
globale segreto” della CIA, tra cui “exploit”, utilizzato contro
prodotti come “iPhone di Apple, Android di Google e Windows di
Microsoft, e persino contro i televisori Samsung, tramutandoli in
microfoni occulti“. “La CIA era riuscita a bypassre la
crittografia dei servizi cellulari e di messaggistica più popolari:
Sienal, WhatsApp e Telegram“. Secondo Wikileaks, gli hacker della CIA possono penetrare i telefonini Android e raccogliere “traffico audio e messaggi prima dell’attivazione della crittografia“.
Un’altra rivelazione è che la CIA attua cyberattacchi “false flag” per accusare la Russia degli attacchi informatici. Compito assegnato al ramo dispositivi remoti di UMBRAGE della CIA, che raccoglie e conserva in una biblioteca virtuale le tecniche di attacco ‘rubate’ dai malware prodotti dalla Federazione Russa e da altri Stati. “Con il programma UMBRAGE, e correlati, non solo la CIA può aumentare i suoi attacchi, ma sviarne l’attribuzione lasciando “impronte digitali” dei gruppi a cui le tecniche di attacco sono state rubate. I componenti di UMBRAGE coprono keylogger, password, pirataggio di webcam, distruzione dati, persistenza, scalata di privilegio, furtività, anti-virus, tecniche di elusione e d’indagine“. Quindi, la CIA utilizza tali tecniche per attribuire i propri attacchi informatici a Stati nemici.
Un’altra tecnica è Weeping Angel, sviluppata dall’Embedded Devices Branch
(EDB) della CIA, in collaborazione con l’MI5/OPI del Regno Unito, per
infettare i televisori intelligenti, trasformandoli in microfoni
occulti, ponendo la TV attaccata in modalità ‘Fake-Off’, così il
proprietario ritiene erroneamente che il televisore sia spento quando
invece è acceso e registra le conversazioni nella stanza che invia via
Internet ad un server segreto della CIA. “La CIA ha mutato Smart TV,
iPhone, console di videogiochi e molti altri gadget in microfoni
aperti, e fatto di tutti i PC Microsoft Windows una rete spyware
mondiale, che può attivare via backdoor su richiesta, anche attraverso
l’aggiornamento di Windows“. La CIA attua un ampio programma per infettare e controllare i PC Microsoft Windows con i propri malware, come Zero Days, Hammer Drill, che infetta il software distribuito su CD/DVD o USB, e Brutal Kangaroo per nascondere dati e immagini in aree nascoste degli hard disk e permettere le infestazioni coi malware.
Il Ramo dispositivi mobili della CIA (Mobile Development Branch – MDB) attuò numerosi attacchi remoti contro i cellulari, che una volta infettati possono essere programmati per inviare alla CIA dati su geolocalizzazione, audio e di testo degli utenti, così come attivare di nascosto fotocamera, videocamera e microfono del cellulare. Un’unità specializzata del Mobile Development Branch produce il malware per infestare, controllare ed esfiltrare dati dagli iPhone e altri prodotti Apple iOS, come l’iPad. L’arsenale della CIA comprende numerosi malware locali e remoti “zero days” sviluppati dalla CIA o dai rami cibernetici di GCHQ, NSA, FBI e aziende come Baitshop.
Egualmente accade per Android
di Google, utilizzato per gestire i cellulari smart Samsung, HTC e Sony.
Nel 2016 la CIA aveva 24 tipi di malware “Zero days” per Android,
sviluppati da CIA, GCHQ, NSA e aziende di cyberarmi. Tali tecniche
permettono alla CIA di aggirare la crittografia di WhatsApp, Signal, Telegram, Wiebo, Confide e Cloackman
ed hackerare i telefoni “intelligenti” su cui operano raccogliendone il
traffico audio e messaggistico, prima che sia applicata la
crittografia.
I malware della CIA attaccano anche i router di Windows,
OSX, Linux. E neanche le automobili sfuggono, “Dall’ottobre 2014, la
CIA cercava d’infettare i sistemi di controllo utilizzati dagli
autoveicoli moderni. Lo scopo di ciò non fu specificato, ma avrebbe
permesso alla CIA di commettere omicidi quasi non rilevabili”.
Alla fine del 2016, la divisione hacking della CIA, sotto il centro dell’Agenzia per la Cyberintelligence (CCI), aveva oltre 5000 utenti registrati e prodotto più di un migliaio di sistemi di hacking, trojan, virus e altri malware. La CIA aveva creato, quindi, la “propria NSA”, ancora più segreta. Tale cyberarsenale è prodotto dall’EDG (Engineering Development Group), divisione sviluppo software del CCI (Center for Cyber Intelligence) della DDI (Direzione Digitale per l’Innovazione). La DDI è una delle cinque principali sezioni della CIA. Infine, CIA e NSA ricorrono anche a fornitori privati, come la Booze Allan Hamilton.
Molti programmi sono affidati all’Automated Implant Branch (AIB) della CIA, che ha sviluppato diversi sistemi di attacco automatizzato dei malware per infestare e controllare, come ad esempio Assassin e Medusa. Gli attacchi contro le infrastrutture di Internet e i web server sono sviluppati dalla Network Devices Branch (NDB) della CIA, come i malware automatizzati multi-piattaforma d’attacco e monitoraggio occulti per Windows, MacOSX, Solaris e Linux, come “HIVE”, “Cutthroat” e “Swindle”.
Il Consolato degli USA a Francoforte è una base segreta degli hacker della CIA
Oltre alle operazioni da Langley, in Virginia, negli USA, la CIA
utilizza anche il consolato degli Stati Uniti di Francoforte come base
segreta per gli attacchi hacker contro Europa, Medio Oriente e Africa.
Il centro di Francoforte si chiama Center of Cyber Intelligence in Europe
(CCIE) e gli operatori ricevono passaporti diplomatici e copertura dal
dipartimento di Stato degli USA. Una volta a Francoforte, gli hacker
della CIA possono viaggiare senza controlli nei 25 Paesi europei che
fanno parte dell’area Schengen, tra cui Francia, Italia e Svizzera.
Questi hacker s’infiltrano fisicamente nei centri presi di mira, e
utilizzando le USB infettano i computer e relativi supporti con il
malware appositamente sviluppato dalla CIA. Il sistema di attacco Fine
Dining fornisce 24 coperture per la gestione del malware. In sostanza,
ad un eventuale testimone, l’hacker sembrerebbe utilizzare un programma
video (ad esempio il VLC), o di presentazione di diapositive (Prezi), un videogioco (Breakout2, 2048) o un finto programma antivirus (Kaspersky, McAfee, Sophos). Ma mentre l’applicazione esca appare sullo schermo, il sistema viene infettato ed esfiltrato automaticamente.
L’EDG
della CIA si occupa di circa 500 progetti, ciascuno con i propri
sotto-progetti, malware e strumenti hacker, utilizzati per penetrare,
infestare, controllare ed esfiltrare dati.
UMBRAGE è il ramo della CIA che crea dispositivi remoti per raccogliere e conservare una biblioteca delle tecniche di attacco ‘rubate’ dai malware prodotti negli altri Stati.
Fine Dining, è il questionario standardizzato utilizzato dall’Operational Support Branch della CIA per le richieste avanzate dagli agenti sui requisiti tecnici richiesti per le operazioni specifiche di attacchi hacker. L’OSB opera da interfaccia tra il personale operativo della CIA e il personale tecnico.
Nella lista dei possibili bersagli vi sono ‘asset’, ‘liason
asset’, ‘amministratore di sistema’, agenzie d’intelligence estere,
agenzie governative estere. Mancano estremisti e criminali. Si chiede
anche di specificare l’ambiente del bersaglio, come il tipo di computer,
sistema operativo utilizzato, connettività Internet, antivirus
installato e tipi di file da sottrarre. Queste informazioni vengono
usate dal software ‘JQJIMPROVISE’, per configurare i malware adatti alle
esigenze specifiche dell’operazione.
‘JQJIMPROVISE’, è un set di strumenti per la configurazione, post-elaborazione, riconfigurazione e selezione degli strumenti di indagine/esfiltraizone presenti nei sistemi operativi Windows (Bartender), MacOS (JukeBox) e Linux (DanceFloor).
HIVE, è una suite multi-piattaforma di malware della CIA e relativo software di controllo. Il programma prevede impianti personalizzabili per Windows, Solaris, MikroTik (utilizzato nei router Internet) e piattaforme Linux, ed agisce anche da Posto di ascolto (LP)/Comando e controllo (C2) dell’infrastruttura per comunicare con questi impianti malware. Gli impianti sono configurati per comunicare tramite HTTPS ai server della rete sotto la copertura di un dominio.
Questi sistemi hanno propri
domini di copertura e l’infrastruttura può gestirne un numero infinito.
Ogni dominio di copertura fornisce un indirizzo IP presso un provider
commerciale (Virtual Private Server). Il server è configurato
per l’autenticazione client SSL opzionale: se un client invia un
certificato valido, la connessione viene inoltrata al ToolServer Honeycomb
che comunica con l’impianto; se un certificato valido non è presente
(se qualcuno per caso tenta di aprire il sito del dominio coperto), il
traffico viene inoltrato a un server di copertura che porta al sito web
cercato. Il ToolServer di HIVE riceve i dati esfiltrati dall’impianto, e
un operatore può utilizzare lo stesso impianto per lavorare sul
computer infettato, così il ToolServer funge anche da server C2 (comando
e controllo) dell’impianto malware.
Alessandro Lattanzio, 9 marzo 2017
Fonte: Global Research
Nessun commento:
Posta un commento