Μετάβαση στο κύριο περιεχόμενο

Μετά το WannaCry: άλλα 2 Windows malware της CIA AfterMidnight & Assassin

Ενώ όλος ο κόσμος προσπαθεί να αντιμετωπίσει την απειλή του καταστροφικού ransomware WannaCry, το WikiLeaks κυκλοφόρησε μια νέα παρτίδα διαρροών της CIA στο Vault 7. Αυτή τη φορά περιγράφει άλλα δύο malware της CIA για την πλατφόρμα των Windows.
Ονομάζονται AfterMidnight και Assassin. Kαι οι δύο κακόβουλες εφαρμογές έχουν σχεδιαστεί για την παρακολούθηση και την αναφορά ενεργειών από τον υπολογιστή του θύματος σε έναν απομακρυσμένο κεντρικό υπολογιστή που προφανώς ελέγχεται από τη CIA.Αυτή η τελευταία παρτίδα είναι η 8η έκδοση της σειράς Vault 7.
Από τον Μάρτιο, to WikiLeaks δημοσίευσε εκατοντάδες χιλιάδες έγγραφα και μυστικά εργαλεία hacking τα οποία ισχυρίζονται ότι προέρχονται από την Κεντρική Υπηρεσία Πληροφοριών των ΗΠΑ (CIA).    AfterMidnight
Σύμφωνα με το WikiLeaks, το AfterMidnight επιτρέπει στους χειριστές του να φορτώνουν δυναμικά και να εκτελέσουν κακόβουλο ωφέλιμο φορτίο στο σύστημα του στόχου.
Ο κύριος ελεγκτής του κακόβουλου ωφέλιμου φορτίου, είναι ένα μεταμφιεσμένο αρχείο DLL (Dynamic Link Library) και εκτελεί τα “Gremlins” (μικρά ωφέλιμα φορτία που παραμένουν κρυμμένα στο μηχάνημα-στόχο), υπονομεύοντας τη λειτουργικότητα του στοχευμένου λογισμικού, ή την παροχή υπηρεσιών σε άλλα Gremlins.
Αφού εγκατασταθεί το AfterMidnight χρησιμοποιεί ένα σύστημα Post Listening Post (LP) με βάση το HTTPS που ονομάζεται Octopus για να ελέγξει για τυχόν προγραμματισμένα συμβάντα. Αν βρεθεί κάποιο, το κακόβουλο λογισμικό κατεβάζει και αποθηκεύει όλα τα απαραίτητα στοιχεία πριν φορτώσει όλα τα νέα gremlins στη μνήμη.
Σύμφωνα με τον οδηγό χρήσης που παρέχεται στην τελευταία διαρροή του WikiLeaks, η τοπική αποθήκευση που πραγματοποιεί το AfterMidnight είναι κρυπτογραφημένη με ένα κλειδί που δεν αποθηκεύεται στο μηχάνημα-στόχο.
Ένα ειδικό ωφέλιμο φορτίο, που ονομάζεται AlphaGremlin, περιέχει ένα προσαρμοσμένο script, το οποίο επιτρέπει στους χειριστές να προγραμματίσουν, προσαρμοσμένες εργασίες που θα εκτελεστούν στο στοχευόμενο σύστημα.

Assassin

Το Assassin είναι παρόμοιο με το AfterMidnight και περιγράφεται ως “αυτοματοποιημένο εμφύτευμα που παρέχει μια απλή πλατφόρμα συλλογής σε απομακρυσμένους υπολογιστές που εκτελούν το λειτουργικό σύστημα Microsoft Windows”.
Αφού εγκατασταθεί στον υπολογιστή του θύματος, το εργαλείο αυτό τοποθετεί κακόβουλα “εμφυτεύματα” μέσα σε μια διαδικασία υπηρεσιών των Windows, επιτρέποντας στους χειριστές να εκτελούν κακόβουλες εργασίες σε ένα μολυσμένο μηχάνημα, ακριβώς όπως και με το AfterMidnight.
Το Assassin αποτελείται από τέσσερα υποσυστήματα: Implant, Builder, Command and Control, και Listening Post.
Το ‘Implant’ παρέχει τη βασική λογική και λειτουργικότητα αυτού του εργαλείου στο μηχάνημα του θύματος, και “ενδιαφέρεται για τις επικοινωνίες και κάθε εκτέλεση εργασιών. Διαμορφώνεται με τη χρήση του «Builder» και αναπτύσσεται στον υπολογιστή προορισμού μέσω ενός ορισμένου φορέα.
Το Builder ρυθμίζει τα “εμφυτεύματα” και τα ‘Deployment Executables’ (εκτελέσιμα) πριν από την ανάπτυξη και “παρέχει μια προσαρμοσμένη διεπαφή γραμμής εντολών για τη ρύθμιση της διαμόρφωσης του εμφυτεύματος πριν από τη δημιουργία του”, αναφέρει ο οδηγός χρήσης του εργαλείου.
Το υποσύστημα “Command and Control” λειτουργεί ως διεπαφή μεταξύ του χειριστή και του Post Listening (LP), ενώ το LP επιτρέπει στο Implant Assassin να επικοινωνεί με το υποσύστημα εντολών και ελέγχου (Command and Control) μέσω ενός διακομιστή στο Web.
Να υπενθυμίσουμε ότι την περασμένη εβδομάδα, το WikiLeaks κυκλοφόρησε ένα εργαλείο για επιθέσεις man-in-the-middle (MitM), που ονομάζεται Archimedes, που φέρεται ότι δημιούργησε η CIA για να στοχεύσει υπολογιστές μέσα σε ένα τοπικό δίκτυο (LAN).
_____________________________________
Αυτή η πρακτική από τις αμερικανικές υπηρεσίες πληροφοριών που γνωρίζει τις αδυναμίες και δεν τις γνωστοποιεί στις εταιρείες ανάπτυξης, είναι και η αιτία εξάπλωσης του ransomware WannaCry. Το ελάττωμα της SMB που ανακάλυψε η NSA δεν αποκαλύφθηκε ποτέ εκεί που έπρεπε μέχρι που το διέρρευσαν οι Shadow Brokers πριν από ένα μήνα.
Εδώ να αναφέρουμε ότι η Microsoft, μέσω του Brad Smith, καταδίκασε την πρακτική της αμερικανικής υπηρεσίας πληροφοριών, λέγοντας ότι η «ευρεία ζημιά» που προκλήθηκε από το WannaCry συνέβη εξαιτίας της NSA, της CIA και άλλων υπηρεσιών πληροφοριών.
Από τον Μάρτιο το WikiLeaks πραγματοποίησε 8 δημοσιεύσεις στη σειρά “Vault 7”, στις οποίες περιλαμβάνονται μεγάλες διαρροές:
Year Zero” η CIA εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
Dark Matter” exploits που στοχεύουν iPhones και Mac.
Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIA για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.

Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Συγκλονιστικές μαρτυρίες Κρητικών – Μας πλησίασαν παράξενα αντικείμενα από τον ουρανό vid

Ιπτάμενο αντικείμενο ανέφεραν ότι είδαν το βράδυ της Κυριακής οι κάτοικοι του Ζαρού, είδηση που αναμεταδίδουν κρητικά μέσα ενημέρωσης.

VIDEO «ΣΚΟΤΩΘΗΚΑΝ» ΓΕΩΡΓΙΑΔΗΣ-ΚΑΣΙΔΙΑΡΗΣ ΣΤΗ ΒΟΥΛΗ ΓΙΑ ΤΟΝ ΤΡΑΠΕΖΙΤΗ ΣΑΛΑ ΚΑΙ ΤΟ ΕΡΡΙΚΟΣ ΝΤΥΝΑΝ: «ΕΙΣΑΙ ΤΡΕΛΟΣ ΡΕ; ΓΕΛΟΙΕ; ..

ΠΟΥΛΑΣ ΜΑΓΚΙΑ ΣΕ ΜΕΝΑ ΡΕ; ΘΑ ΒΑΛΕΙΣ ΜΥΑΛΟ ΡΕ; ΘΑ ΣΕ ΣΤΕΙΛΩ ΣΤΟ ΕΙΔΙΚΟ ΔΙΚΑΣΤΗΡΙΟ…»

Όταν τα Α.Τ.Ι.Α εμφανίστηκαν στην Ελλάδα VIDEO

"Εάν οι εξωγήινοι μας επισκεφθούν, το αποτέλεσμα θα είναι όπως όταν Χριστόφορος Κολόμβος έφτασε στην Αμερική -Οι ιθαγενείς δεν είχαν καλό τέλος" προειδοποιεί ο Στίβεν Χόκινγκ.

ΧΑΜΟΣ ΣΕ ΓΝΩΣΤΟ ΤΣΙΠΟΥΡΑΔΙΚΟ ΤΟΥ ΒΟΛΟΥ!Ο ιδιοκτήτης δεν είχε να κάνει με τουρίστες αλλά…

Το τσιπουράδικο ήταν ασφυκτικά γεμάτο και ο ιδιοκτήτης έτριβε τα χέρια του. Λίγη ώρα αργότερα το κλίμα άλλαξε…
Με βερμούδες, σαγιονάρες, σακίδια στην πλάτη και χαλαρή διάθεση.

ΑΣ ΠΡΟΣΕΧΑΝ ΠΟΥ ΠΗΓΑΝ! Βρετανοί τουρίστες έξαλλοι με προσωπικό ξενοδοχείου στην Τουρκία – Τους κατηγορούν για ερωτικές επιθέσεις

Το προσωπικό τουρκικού ξενοδοχείου βρέθηκε προ εκπλήξεως όταν τέσσερις Βρετανοί τουρίστες- τρεις κοπέλες κι ένας νεαρός άνδρας- υποστήριξαν πως δέχτηκαν σεξουαλική επίθεση. όμως, η αντίθετη

VIDEO μαζική εκτέλεση 18 ισλαμοπίθηκων του ISIS στη Λιβύη από τον εκλεκτό της Μόσχας – Στεγνό «καθάρισμα»

Οι εικόνες της μαζικής εκτέλεσης 18 ισλαμοπιθήκων ISIS στη Λιβύη. Οι τζιχαντιστές, που έχουν καλυμμένα τα πρόσωπά τους, φοράνε πορτοκαλί στολές και είναι καθισμένοι στα γόνατα, δέχονται βροχή από