Di MAro Ilaria

Vault 7, WikiLeaks rivela altri due malware della CIA

Mentre il mondo intero si preoccupava di WannaCry, WikiLeaks pubblicava altri due malware della CIA aventi come target sempre le piattaforme Windows

Roma - Si chiamano AfterMidnight e Assassin i due software malevoli oggetto dell'ultimo rilascio di WikiLeaks datato 12 maggio, avvenuto in contemporanea (e per questo passato quasi in sordina) con la diffusione capillare del ransomware WannaCry. Si tratta dell'ottavo leak della serie Vault 7 con la quale, a partire dallo scorso marzo, l'organizzazione ha diffuso la documentazione relativa di tool ed exploit realizzati dalla CIA.

Nello specifico, quest'ultima pubblicazione riguarda cinque documenti che spiegano le modalità di caricamento ed esecuzione dei due malware, progettati entrambi per monitorare e riportare le azioni effettuate su computer infetti nonché per eseguire operazioni malevoli.

AfterMidnight diagram

Il primo descritto è AfterMidnigth, un framework che permette agli operatori di caricare ed eseguire codice sulla macchina vittima.
Il controller principale si nasconde con le sembianze di un servizio DLL (Dynamic Link Library) Windows persistente, offrendo un'esecuzione sicura di payload chiamati "Gremlins", ispirati al famoso film di Steven Spielberg.
I Gremlins, come spiega il manuale rilasciato, sono piccoli payload di AfterMidnight che rimangono nascosti sul target in grado di sovvertire le funzionalità di processi esistenti, esfiltrare dati o fornire servizi interni e funzionalità per altri Gremlins. Il payload speciale "AlphaGremlin", ad esempio, fornisce anche un linguaggio di script personalizzato che consente agli operatori di pianificare attività su misura da eseguire sulla macchina di destinazione.

Una volta installato sulla macchina target, AfterMidnight richiama un LP (Listening Post) chiamato "Octopus" basato su HTTPS che controlla la presenza di nuovi piani di esecuzione su un server remoto. Se ce ne sono, scarica e memorizza tutti i componenti necessari prima di caricare nuovi Gremlins in memoria.

Per funzionare AfterMidnight necessita di un costante accesso a Internet, la porzione di memoria locale che utilizza è cifrata con una chiave che non è salvata sulla macchina vittima, inoltre se il malware non riesce a raggiungere l'LP non è in grado di eseguire i Gremlins.

I Gremlins che hanno la capacità di modificare la funzionalità di processi esistenti o nuovi sulla macchina vittima possono ritardare l'esecuzione di un processo, ucciderlo o bloccarlo permanentemente; queste attività possono essere programmate per essere attivate a determinati intervalli di tempo e su specifiche quantità di processi target.

In una simulazione estratta dal manuale d'uso di AfterMidnight viene mostrata l'esecuzione di alcune operazioni su due computer infettati, prima impedendo a un target di utilizzare il browser (in modo da far spendere all'utente più tempo sull'applicazione permettendo di collezionare più dati), poi infastidendo l'altro target ogni qualvolta utilizzi PowerPoint.

Nell'esempio seguente vengono uccisi tutti gli eseguibili di Internet Explorer e Firefox ogni 30 secondi:

Esecuzione di AfterMidnight

Esecuzione di AfterMidnight

Il secondo malware descritto in questo rilascio di WikiLeaks è Assassin. Molto simile ad AfterMidnight, si tratta di una piattaforma automatizzata che permette la raccolta di dati e l'esfiltrazione su macchine con sistema operativo Windows. Una volta che il tool è installato sulla macchina vittima, questo viene eseguito come servizio, con un comportamento molto simile a una backdoor trojan.

Assassin è composto da quattro sottosistemi: Implant, Builder, Command and Control e una Listening Post.
L'Implant implementa la logica e le funzionalità del tool, incluse le funzionalità di comunicazioni e gestione dei lavori. È configurato usando il Builder tramite riga di comando personalizzata.
Il sottosistema Command & Control agisce da interfaccia tra l'operatore e il Listening Post (LP) mentre l'LP permette all'Assassin Implant di comunicare con il sottosistema C&C attraverso un Web server.
Come illustrato nel manuale d'uso, Assassin usa un cifrario a flusso RC4 modificato per cifrare ogni dato che viene inviato o salvato sul file system target, la cui chiave non è salvata sulla macchina infettata.

Il vettore di installazione non è definito, ma possiamo supporre vulnerabilità di tipo remote code execution o eseguibili inviati tramite email come i ben conosciuti ransomware; ad esempio WannaCry che usa l'exploit di SMB rilasciato dagli Shadow Brokers.

Ilaria Di Maro

fonte immagini: 1, 2
Notizie collegate
71 Commenti alla Notizia Vault 7, WikiLeaks rivela altri due malware della CIA
Ordina
  • Beh, il fatto che abbiano bisogno di questi mezzi mi fa pensare che Windows di backdoor non ne abbia. Più che altro mi impensierirebbe la mancanza di altrettanti mezzi di intrusione per Apple, è pur sempre il 5%, mica due persone.
    non+autenticato
  • Ma va'... Che il bug sia fatto per qualcuno poterlo sfruttare?

    Basta a volte cambiare qualche operatore logico...
    iRoby
    9147
  • - Scritto da: iRoby

    > Basta a volte cambiare qualche operatore logico...

    Sì in effetti di operatori logici tu ne cambi tanti.
    non+autenticato
  • Windows è lo sistema più sicuro DEL MONTO! Comodo siccuro facile da usare ti fa sentire un vero proffessionista del conputer!
    non+autenticato
  • (..) Google's Chrome team is working to fix a credential theft bug that strikes if the browser is running on Microsoft Windows.

    The bug is exploited if a user is tricked into clicking a link that downloads a Windows .scf file (the ancient Shell Command File format, a shortcut to Show Desktop since Windows 98).

    This exploits two things: how Chrome handles .scf files, and how Windows handles them.
    (...)

    dio mio macchecapxo e' un .scf ? ma chi lo usa? xche diamine deve lanciare un interprete? ZuccaVuota ci sei??? potresti regalare un cartellone a M$ con "basta bloatware" e "k.i.s.s ,damn it" !
    non+autenticato
  • e poi per la sicurezza ha pensato bene di bloccare i programmi con DRM ... quelli degli altri ...
    non+autenticato
  • - Scritto da: Mister no
    > e poi per la sicurezza ha pensato bene di
    > bloccare i programmi con DRM ... quelli degli
    > altri
    > ...
    l'unico modo per salvare questa merda sarebbe partire con Win 1:reborn edition...... si danno i sorci di win a un pool di GENTE NORMALE che comincia a sfoltirlo SENZA PIETA'... dalla gui barocca per ritardati alle 100000 feature inutili e/o dimenticate, alla sintassi klingon di powershell ecc ecc..
    non+autenticato
  • Clicca per vedere le dimensioni originali

    programma con il buco intorno
    non+autenticato
  • HASHAHAHA.... rotolo!
    Winari cogl#ni! Rotola dal ridere
    non+autenticato
  • Senza offesa per alcuno, questo è un malware beffa solo per ignoranti e cogli*ni, uno può scegliere liberamente in quale gruppo posizionarsi.
    I privati e le piccole aziende sono state colpite da questa imbecillità è perchè le lore competenza nell'ambito dell'uso del PC sono prossime allo zero, a volere essere buoni e non lo vogglio essere nell' A.D. 2017.
    La gente prima di aprire compulsivamente le email farebbe bene ad essere consapevole di quello che sta facendo.
    E' il solito malware idiota della stessa famiglia dei "Clicca qui" ... e la gente clicca.
    Hanno fatto tutta questa caciara solo perchè hanno fatto tutti una emerita figura di merda, ma il fare caciara non li fa figurare meglio, anzi sono il simtomo che i coglioni sono veramente tanti e distribuiti abbstanza equamente in tutto il mondo.
    non+autenticato
  • - Scritto da: prova123
    > Senza offesa per alcuno, questo è un malware
    > beffa solo per ignoranti e cogli*ni, uno può
    > scegliere liberamente in quale gruppo
    > posizionarsi.
    > I privati e le piccole aziende sono state colpite
    > da questa imbecillità è perchè le lore competenza
    > nell'ambito dell'uso del PC sono prossime allo
    > zero, a volere essere buoni e non lo vogglio
    > essere nell' A.D.
    > 2017.
    > La gente prima di aprire compulsivamente le email
    > farebbe bene ad essere consapevole di quello che
    > sta
    > facendo.
    > E' il solito malware idiota della stessa famiglia
    > dei "Clicca qui" ... e la gente
    > clicca.
    > Hanno fatto tutta questa caciara solo perchè
    > hanno fatto tutti una emerita figura di merda, ma
    > il fare caciara non li fa figurare meglio, anzi
    > sono il simtomo che i coglioni sono veramente
    > tanti e distribuiti abbstanza equamente in tutto
    > il
    > mondo.

    ma anche no
    non+autenticato
  • - Scritto da: prova123
    > Senza offesa per alcuno, questo è un malware
    > beffa solo per ignoranti e cogli*ni, uno può
    > scegliere liberamente in quale gruppo
    > posizionarsi.
    Ma allora amico mio diciamoci tutta la verità

    Dopo ogni catastrofe anche un polletto su PI può dire come si sarebbe potuta evitare.
    Fosse pure il disastro del titanic!

    La sicurezza è prevenzione non analisi a posteriori

    a) dopo che si è venuti a conoscenza del USA PATRIOT Act si sarebbero dovuti rimuovere tutti i sistemi made in USA
    b) i sistemi commerciali per via delle politiche commerciali in primis e non tecniche non dovrebbero gestire grosse reti (le esigenze commerciali legittime delle aziende che vendono SW possono non essere le stesse di chi il SW lo usa)
    c) non bisognava rendere l'informatica una Scienza per tutti, ma limitarsi a vendere prodotti
    d) il monopolio (inteso come omologazione e poca diversificazione) è il cancro
    e) ci vendono sw che loro stessi non usano
    f) la NSA (et similari) sono i veri colpevoli

    vedi un pò quante di queste cose si devono cambiare alla radice se si vuole affrontare il futuro in maniera differente
    non+autenticato
  • - Scritto da: Duca

    > La sicurezza è prevenzione non analisi a
    > posteriori


    Questa dice tutto, ma nessuno imparerà nemmeno dall'accaduto.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)