Niemal dwa miesiące po wydaniu aż 23 różnych narzędzi CIA do hakowania w ramach serii o nazwie "Vault 7", portal Wikileaks ogłosił w dniu dzisiejszym nową serię: "Vault 8". Seria ta ma ujawnić kody źródłowe i inne informacje o infrastrukturze backendu opracowanej przez amerykańską agencję wywiadowczą CIA.
Wikileaks opublikowała pierwszą część wycieku Vault 8, wydając kod źródłowy i niejawną dokumentację projektu o nazwie HIVE. Jest to znaczący komponent, wykorzystywany przez agencję do zdalnej kontroli złośliwego oprogramowania.
Już w kwietniu 2017 roku portal Wikileaks ujawnił krótką informację o tym projekcie, ujawniając, iż projekt jest zaawansowanym serwerem kontrolującym i sterującym (system kontroli złośliwego oprogramowania), który komunikuje się ze złośliwym oprogramowaniem, wysyłając polecenia, aby wykonać określone zadania na docelowych obiektach i odbierać przechwycone informacje z hostów.
HIVE jest zatem wielozadaniowym system typu "all-in-one", który może być używany przez pracowników CIA do zdalnej kontroli wielu złośliwych "implantów" używanych w różnych operacjach. Infrastruktura HIVE została specjalnie zaprojektowana, aby korzystać m.in. z wielostopniowej komunikacji za pośrednictwem wirtualnej sieci prywatnej (VPN). Według Wikileaks:
Nawet jeżeli zostanie wykryty implant na docelowym komputerze, to przypisanie go do CIA jest trudne, patrząc tylko na komunikację szkodliwego systemu z innymi serwerami w Internecie.
Uproszczony schemat platformy HIVE źródło: thehackernews.com |
Jak pokazano na powyższym diagramie, implanty złośliwego systemu bezpośrednio komunikują się z fałszywą witryną, działającą na komercyjnym wirtualnym serwerze prywatnym (VPS) na platformie CentOS, który wygląda niewinnie, gdy jest otwierany bezpośrednio dzięki przeglądarki internetowej. Pakiety są filtrowane dzięki iptables i przekierowywane do odpowiednich serwerów dzięki połączeń VPN, w tym do specjalnego, ukrytego serwera o nazwie "Blot". Serwer Blot przekazuje następnie ruch do bramki zarządzania implantem - "Honeycomb".
Tutaj ciekawostka! Aby uniknąć wykrycia przez administratorów sieci, implanty szkodliwego systemu używają fałszywych certyfikatów dla... Kaspersky Lab (sic!):
Trzy przykłady zawarte w kodzie źródłowym tworzą fałszywy certyfikat dla rosyjskiej firmy antywirusowej Kaspersky Lab, udającej podpisanie go przez Thawte Premium Server CA.
Powyższy certyfikat został wystawiony 30 września 2010 roku i istotny jest na okres 10 lat, czyli do września 2020 roku. W udostępnionych przez Wikileaks materiałach znaleźć można również klucze prywatne i inne certyfikaty w formacie PEM. Ponadto, przeczytać można o projekcie zwanym Switchblade, który działa jako specjalne proxy wykorzystywane przez CIA:
Kod źródłowy opublikowany w serii Vault 8 zawiera jedynie oprogramowanie przeznaczone do działania na serwerach kontrolowanych przez CIA, podczas gdy WikiLeaks zapewnia, iż organizacja nie ujawni żadnych luk w zabezpieczeniach typu 0-day lub podobnych, które mogłyby zostać wykorzystane.
Tutaj ciekawostka! Aby uniknąć wykrycia przez administratorów sieci, implanty szkodliwego systemu używają fałszywych certyfikatów dla... Kaspersky Lab (sic!):
Trzy przykłady zawarte w kodzie źródłowym tworzą fałszywy certyfikat dla rosyjskiej firmy antywirusowej Kaspersky Lab, udającej podpisanie go przez Thawte Premium Server CA.
Powyższy certyfikat został wystawiony 30 września 2010 roku i istotny jest na okres 10 lat, czyli do września 2020 roku. W udostępnionych przez Wikileaks materiałach znaleźć można również klucze prywatne i inne certyfikaty w formacie PEM. Ponadto, przeczytać można o projekcie zwanym Switchblade, który działa jako specjalne proxy wykorzystywane przez CIA:
Switchblade is an authenticating proxy for operational use with with other proxy services such as Hive and Madison. Switchblade employs self-signed public key certificates in conjunction with open-source web
server
Nginx
and
Linux
IP
policy
routing
to
pass
authenticated
data
to
a
tool
handler
and unauthenticated data on to a cover server.
Jak pewnie zauważyliście, mowa jest także o projekcie MADISON, niestety dotychczas Wikileaks nie ujawniło żadnych szczegółów z nim związanych.
Kod źródłowy opublikowany w serii Vault 8 zawiera jedynie oprogramowanie przeznaczone do działania na serwerach kontrolowanych przez CIA, podczas gdy WikiLeaks zapewnia, iż organizacja nie ujawni żadnych luk w zabezpieczeniach typu 0-day lub podobnych, które mogłyby zostać wykorzystane.
Repozytorium platformy HIVE można przeglądać pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/
Wspominany fałszywy certyfikat można znaleźć pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/client/ssl/CA/ca_crt/
Materiały z serii Vault 8 dostępne są pod tym adresem:
https://wikileaks.org/vault8/
Źródło:
https://wikileaks.org/vault8
https://thehackernews.com