Wikileaks opublikowało dzisiaj kod źródłowy HIVE - platformy CIA do kontroli malware

zawszeczujni.pl 7 lat temu

Niemal dwa miesiące po wydaniu aż 23 różnych narzędzi CIA do hakowania w ramach serii o nazwie "Vault 7", portal Wikileaks ogłosił w dniu dzisiejszym nową serię: "Vault 8". Seria ta ma ujawnić kody źródłowe i inne informacje o infrastrukturze backendu opracowanej przez amerykańską agencję wywiadowczą CIA.

Wikileaks opublikowała pierwszą część wycieku Vault 8, wydając kod źródłowy i niejawną dokumentację projektu o nazwie HIVE. Jest to znaczący komponent, wykorzystywany przez agencję do zdalnej kontroli złośliwego oprogramowania.

Już w kwietniu 2017 roku portal Wikileaks ujawnił krótką informację o tym projekcie, ujawniając, iż projekt jest zaawansowanym serwerem kontrolującym i sterującym (system kontroli złośliwego oprogramowania), który komunikuje się ze złośliwym oprogramowaniem, wysyłając polecenia, aby wykonać określone zadania na docelowych obiektach i odbierać przechwycone informacje z hostów.

HIVE jest zatem wielozadaniowym system typu "all-in-one", który może być używany przez pracowników CIA do zdalnej kontroli wielu złośliwych "implantów" używanych w różnych operacjach. Infrastruktura HIVE została specjalnie zaprojektowana, aby korzystać m.in. z wielostopniowej komunikacji za pośrednictwem wirtualnej sieci prywatnej (VPN). Według Wikileaks:

Nawet jeżeli zostanie wykryty implant na docelowym komputerze, to przypisanie go do CIA jest trudne, patrząc tylko na komunikację szkodliwego systemu z innymi serwerami w Internecie.

Uproszczony schemat platformy HIVE
źródło: thehackernews.com

Jak pokazano na powyższym diagramie, implanty złośliwego systemu bezpośrednio komunikują się z fałszywą witryną, działającą na komercyjnym wirtualnym serwerze prywatnym (VPS) na platformie CentOS, który wygląda niewinnie, gdy jest otwierany bezpośrednio dzięki przeglądarki internetowej. Pakiety są filtrowane dzięki iptables i przekierowywane do odpowiednich serwerów dzięki połączeń VPN, w tym do specjalnego, ukrytego serwera o nazwie "Blot". Serwer Blot przekazuje następnie ruch do bramki zarządzania implantem - "Honeycomb".

Tutaj ciekawostka! Aby uniknąć wykrycia przez administratorów sieci, implanty szkodliwego systemu używają fałszywych certyfikatów dla... Kaspersky Lab (sic!):

Trzy przykłady zawarte w kodzie źródłowym tworzą fałszywy certyfikat dla rosyjskiej firmy antywirusowej Kaspersky Lab, udającej podpisanie go przez Thawte Premium Server CA.
Powyższy certyfikat został wystawiony 30 września 2010 roku i istotny jest na okres 10 lat, czyli do września 2020 roku. W udostępnionych przez Wikileaks materiałach znaleźć można również klucze prywatne i inne certyfikaty w formacie PEM. Ponadto, przeczytać można o projekcie zwanym Switchblade, który działa jako specjalne proxy wykorzystywane przez CIA:

Switchblade is an authenticating proxy for operational use with with other proxy services such as Hive and Madison. Switchblade employs self-signed public key certificates in conjunction with open-source web server Nginx and Linux IP policy routing to pass authenticated data to a tool handler and unauthenticated data on to a cover server.

Jak pewnie zauważyliście, mowa jest także o projekcie MADISON, niestety dotychczas Wikileaks nie ujawniło żadnych szczegółów z nim związanych.

Kod źródłowy opublikowany w serii Vault 8 zawiera jedynie oprogramowanie przeznaczone do działania na serwerach kontrolowanych przez CIA, podczas gdy WikiLeaks zapewnia, iż organizacja nie ujawni żadnych luk w zabezpieczeniach typu 0-day lub podobnych, które mogłyby zostać wykorzystane.