Μετάβαση στο κύριο περιεχόμενο

Μετά το WannaCry: άλλα 2 Windows malware της CIA AfterMidnight & Assassin

Ενώ όλος ο κόσμος προσπαθεί να αντιμετωπίσει την απειλή του καταστροφικού ransomware WannaCry, το WikiLeaks κυκλοφόρησε μια νέα παρτίδα διαρροών της CIA στο Vault 7. Αυτή τη φορά περιγράφει άλλα δύο malware της CIA για την πλατφόρμα των Windows.
Ονομάζονται AfterMidnight και Assassin. Kαι οι δύο κακόβουλες εφαρμογές έχουν σχεδιαστεί για την παρακολούθηση και την αναφορά ενεργειών από τον υπολογιστή του θύματος σε έναν απομακρυσμένο κεντρικό υπολογιστή που προφανώς ελέγχεται από τη CIA.Αυτή η τελευταία παρτίδα είναι η 8η έκδοση της σειράς Vault 7.
Από τον Μάρτιο, to WikiLeaks δημοσίευσε εκατοντάδες χιλιάδες έγγραφα και μυστικά εργαλεία hacking τα οποία ισχυρίζονται ότι προέρχονται από την Κεντρική Υπηρεσία Πληροφοριών των ΗΠΑ (CIA).    AfterMidnight
Σύμφωνα με το WikiLeaks, το AfterMidnight επιτρέπει στους χειριστές του να φορτώνουν δυναμικά και να εκτελέσουν κακόβουλο ωφέλιμο φορτίο στο σύστημα του στόχου.
Ο κύριος ελεγκτής του κακόβουλου ωφέλιμου φορτίου, είναι ένα μεταμφιεσμένο αρχείο DLL (Dynamic Link Library) και εκτελεί τα “Gremlins” (μικρά ωφέλιμα φορτία που παραμένουν κρυμμένα στο μηχάνημα-στόχο), υπονομεύοντας τη λειτουργικότητα του στοχευμένου λογισμικού, ή την παροχή υπηρεσιών σε άλλα Gremlins.
Αφού εγκατασταθεί το AfterMidnight χρησιμοποιεί ένα σύστημα Post Listening Post (LP) με βάση το HTTPS που ονομάζεται Octopus για να ελέγξει για τυχόν προγραμματισμένα συμβάντα. Αν βρεθεί κάποιο, το κακόβουλο λογισμικό κατεβάζει και αποθηκεύει όλα τα απαραίτητα στοιχεία πριν φορτώσει όλα τα νέα gremlins στη μνήμη.
Σύμφωνα με τον οδηγό χρήσης που παρέχεται στην τελευταία διαρροή του WikiLeaks, η τοπική αποθήκευση που πραγματοποιεί το AfterMidnight είναι κρυπτογραφημένη με ένα κλειδί που δεν αποθηκεύεται στο μηχάνημα-στόχο.
Ένα ειδικό ωφέλιμο φορτίο, που ονομάζεται AlphaGremlin, περιέχει ένα προσαρμοσμένο script, το οποίο επιτρέπει στους χειριστές να προγραμματίσουν, προσαρμοσμένες εργασίες που θα εκτελεστούν στο στοχευόμενο σύστημα.

Assassin

Το Assassin είναι παρόμοιο με το AfterMidnight και περιγράφεται ως “αυτοματοποιημένο εμφύτευμα που παρέχει μια απλή πλατφόρμα συλλογής σε απομακρυσμένους υπολογιστές που εκτελούν το λειτουργικό σύστημα Microsoft Windows”.
Αφού εγκατασταθεί στον υπολογιστή του θύματος, το εργαλείο αυτό τοποθετεί κακόβουλα “εμφυτεύματα” μέσα σε μια διαδικασία υπηρεσιών των Windows, επιτρέποντας στους χειριστές να εκτελούν κακόβουλες εργασίες σε ένα μολυσμένο μηχάνημα, ακριβώς όπως και με το AfterMidnight.
Το Assassin αποτελείται από τέσσερα υποσυστήματα: Implant, Builder, Command and Control, και Listening Post.
Το ‘Implant’ παρέχει τη βασική λογική και λειτουργικότητα αυτού του εργαλείου στο μηχάνημα του θύματος, και “ενδιαφέρεται για τις επικοινωνίες και κάθε εκτέλεση εργασιών. Διαμορφώνεται με τη χρήση του «Builder» και αναπτύσσεται στον υπολογιστή προορισμού μέσω ενός ορισμένου φορέα.
Το Builder ρυθμίζει τα “εμφυτεύματα” και τα ‘Deployment Executables’ (εκτελέσιμα) πριν από την ανάπτυξη και “παρέχει μια προσαρμοσμένη διεπαφή γραμμής εντολών για τη ρύθμιση της διαμόρφωσης του εμφυτεύματος πριν από τη δημιουργία του”, αναφέρει ο οδηγός χρήσης του εργαλείου.
Το υποσύστημα “Command and Control” λειτουργεί ως διεπαφή μεταξύ του χειριστή και του Post Listening (LP), ενώ το LP επιτρέπει στο Implant Assassin να επικοινωνεί με το υποσύστημα εντολών και ελέγχου (Command and Control) μέσω ενός διακομιστή στο Web.
Να υπενθυμίσουμε ότι την περασμένη εβδομάδα, το WikiLeaks κυκλοφόρησε ένα εργαλείο για επιθέσεις man-in-the-middle (MitM), που ονομάζεται Archimedes, που φέρεται ότι δημιούργησε η CIA για να στοχεύσει υπολογιστές μέσα σε ένα τοπικό δίκτυο (LAN).
_____________________________________
Αυτή η πρακτική από τις αμερικανικές υπηρεσίες πληροφοριών που γνωρίζει τις αδυναμίες και δεν τις γνωστοποιεί στις εταιρείες ανάπτυξης, είναι και η αιτία εξάπλωσης του ransomware WannaCry. Το ελάττωμα της SMB που ανακάλυψε η NSA δεν αποκαλύφθηκε ποτέ εκεί που έπρεπε μέχρι που το διέρρευσαν οι Shadow Brokers πριν από ένα μήνα.
Εδώ να αναφέρουμε ότι η Microsoft, μέσω του Brad Smith, καταδίκασε την πρακτική της αμερικανικής υπηρεσίας πληροφοριών, λέγοντας ότι η «ευρεία ζημιά» που προκλήθηκε από το WannaCry συνέβη εξαιτίας της NSA, της CIA και άλλων υπηρεσιών πληροφοριών.
Από τον Μάρτιο το WikiLeaks πραγματοποίησε 8 δημοσιεύσεις στη σειρά “Vault 7”, στις οποίες περιλαμβάνονται μεγάλες διαρροές:
Year Zero” η CIA εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
Dark Matter” exploits που στοχεύουν iPhones και Mac.
Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIA για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.

Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

ΚΑΡΕ ΚΑΡΕ! ΕΤΣΙ ΟΙ 2 ΜΠΡΑΒΟΙ ΠΕΡΙΚΥΚΛΩΣΑΝ ΚΑΙ ΧΤΥΠΗΣΑΝ ΠΙΣΩΠΛΑΤΑ ΣΤΟΝ ΣΤΕΦΑΝΟ ΧΙΟ! ΔΕΙΤΕ ΤΟΝ ΑΠΛΥΤΟ ΔΙΚΑΣΤΙΚΟ ΕΠΙΜΕΛΗΤΗ ΠΟΥ ΤΟΥΣ ΕΔΩΣΕ ΤΗΝ ΕΝΤΟΛΗ! ΤIΣ ΑΡΠΑΞΑΝ ΑΓΡΙΑ ΑΠΟ ΤΟΝ ΚΟΣΜΟ!

Τα κοράκια καραδοκούσαν στα δικαστήρια! ΈΦΥΓΑΝ ΜΕ ΤΑ ΒΡΑΚΙΑ ΚΑΤΕΒΑΣΜΕΝΑ! Όλα έγιναν μετα την αναβολή της δίκης που ζήτησε η πλευρά του Πάνου Καμμένου!

VIDΕΟ που πρέπει να δουν όλοι: Ο Πάπας αρχιεκπρόσωπος του Κρόνειου επί γης ιερατείου, κήρυξε τον Μεσαίωνα του παγκόσμιου ηγέτη

Ο Πάπας Φραγκίσκος, έχοντας ως «πεσκέσι» από την Κολομβία ένα μαυρισμένο μάτι έπειτα από ατύχημα με το όχημα μετακινήσεώς του, ολοκλήρωσε την Κυριακή το ταξίδι του στην Κολομβία, προτρέποντας

Ασχημα νέα για την Ελλάδα με ισραηλινό στραπάτσο- Η Ρωσική αεράμυνα αναχαίτισε τις επιδρομές των ισραηλινών μαχητικών – Οι S-400 είδαν τα F-35 από τη Συρία vid

Άσχημα νέα για την Ελλάδα καθώς η ενιαία ρωσική αντιαεροπορική άμυνα κατάφερε να εντοπίσει τα F-35 κατά την διάρκεια της τελευταίας επίθεσης στην Συρία. Και το αποτέλεσμα αυτής της επιχείρησης είναι

ALERT Αιφνιδιαστικό διάγγελμα από Β.Κορέα – «Λοιπόν, έχουμε πόλεμο – Θα καταρρίψουμε τα αμερικανικά αεροσκάφη που πετούν και εκτός του εναέριου χώρου μας» vid

ΕΚΤΑΚΤΟ- Οι πρώτες εικόνες: Ισπανικά άρματα μάχης και τεθωρακισμένα περικύκλωσαν την Καταλονία – Δεύτερος ''ισπανικός'' εμφύλιος pics - vid

Iσπανικά άρματα μάχης και τεθωρακισμένα έκαναν την εμφάνιση τους  στους δρόμους της Καταλονίας μετά από εντολή του Ραχόι ενώ ήδη υπάρχει επέμβαση

Dr. Eric Norton: Υπάρχει τεράστιος εξωγήινος στόλος πίσω από τη Σελήνη