Elia Tufarolo

Vault 7 / Progetto Imperial, tool per hackerare Mac e sistemi POSIX

I manuali della CIA pubblicati da WikiLeaks riguardano rootkit in grado di infettare vecchie versioni di MacOS, Linux e Unix. Anche stavolta non sono stati pubblicati sorgenti o applicativi

Roma - Nella giornata di venerdì 27 luglio WikiLeaks ha pubblicato nuovi documenti del database Vault7 relativi al progetto Imperial della CIA. I documenti sono manuali di istruzioni per tre tool: Achilles, SeaPea e Aeris; i primi due strumenti, in particolare, sono dedicati al sistema operativo desktop di Apple.

wikileaks cia

Achilles
Achilles 1.0 è un semplice script bash che consente di modificare un'immagine MacOS avente estensione DMG, integrando al suo interno uno o più eseguibili in grado di girare sul sistema operativo target alla prima esecuzione. Al termine dell'esecuzione gli eseguibili vengono cancellati dal sistema.
Lo script è stato testato con successo su Mac OS X 10.6 Snow Leopard; l'unica problematica legata a questo script è il fatto che un eventuale user agreement presente all'interno dell'immagine MacOS originale non viene visualizzato durante l'esecuzione dell'immagine infetta. Inoltre, è decisamente probabile che la dimensione ed il checksum dell'immagine infetta non coincidano con quelle dell'immagine originale.

SeaPea
SeaPea 4.0 è un rootkit per OS X 10.6 e 10.7 (Snow Leopard e Lion) in grado di nascondere all'utente file, cartelle, processi, connessioni socket.
Una volta installato SeaPea parte all'avvio del sistema ed effettua, nell'ordine, questa serie di operazioni, rimuovendosi automaticamente in caso di eventuali fallimenti.

  • Controllo di eventuali kernel panic causati dal rootkit stesso: nel caso ce ne siano 3 o più, il rootkit si disinstalla.

  • Rilevamento della versione del kernel, in base alla quale viene avviato il rootkit per Snow Leopard o quello per Lion.

  • Diagnostica: il rootkit testa una ad una tutte le sue funzionalità.

Il rootkit è in grado di suddividere i processi in tre categorie: Normal, Elite e Super-Elite: l'attività dei processi di tipo Elite è nascosta sia ai processi di tipo Normal che ai processi di tipo Elite; dunque, un processo di questo tipo non può visualizzare neanche la propria attività. I processi di tipo Super-Elite, invece, sono in grado di visualizzare tutta l'attività in esecuzione sul sistema.

Le medesime regole si applicano ai file e alle cartelle create, nonché alle connessioni aperte dai processi: per quanto riguarda il file system, una serie di nomi di file, registrati in un database del rootkit, sono invisibili ai processi di tipo Normal ed Elite; per quanto riguarda la rete, le socket IPv4 aperte da processi Elite e Super-Elite sono invisibili per i processi Normal ed Elite. Socket di tipo IPv6 ed UDP, tuttavia, non vengono nascoste.

Il rootkit è gestibile per mezzo di una command-line; le uniche limitazioni riguardano il mancato avvio in modalità single user mode e il fatto che i file siano visibili, nel caso in cui il file system venga montato remotamente su un altro sistema.

Aeris
Aeris 2.1, chiamato così in riferimento all'eroina co-protagonista del gioco Final Fantasy VII, è un software scritto in C e dedicato a sistemi operativi POSIX: nello specifico Debian 7, Red Hat Enterprise Linux 6, Solaris 11, FreeBSD 8, CentOS 5.3 e 5.7.

aeris final fantasy

Lo scopo della soluzione, corredata da una serie di utility scritte in Python, è quello di esfiltrare dati dal sistema infetto: è difatti presente il supporto ai protocolli HTTPS, SMTP, TLS con mutua autenticazione.
È inoltre compatibile con le specifiche NOD di crittografia e fornisce un tool di tipo command and control.
La comunicazione è di tipo client-server: ad ogni ciclo il client scarica un payload tramite una chiamata HTTPS GET all'URL /update.pkg; dopodiché i dati collezionati vengono inviati in upload dal client tramite una chiamata HTTPS POST all'URL /agnt.cgi.

Elia Tufarolo

Fonte Immagini: 1, 2
Notizie collegate
15 Commenti alla Notizia Vault 7 / Progetto Imperial, tool per hackerare Mac e sistemi POSIX
Ordina
  • A mementomori ma vedi un momento di andare a mori ammazzatto... UAH UAH UAH anvedi quanto siamo comici.
    non+autenticato
  • Gent.ma redazione,

    la scadente gestione (e rimozione) dei commenti che violano le vostre stesse policy rende questo forum un luogo poco piacevole da visitare.
    Se non intendete cambiare politica a breve i vostri lettori saranno solo i quattro troll che infestano i vostri articoli.

    Spero che abbiate abbastanza lungimiranza da concordare con me e prendere urgenti provvedimenti.

    A presto (forse)
    non+autenticato
  • - Scritto da: mementomori
    > Gent.ma redazione,
    >
    > la scadente gestione (e rimozione) dei commenti
    > che violano le vostre stesse policy rende questo
    > forum un luogo poco piacevole da
    > visitare.
    > Se non intendete cambiare politica a breve i
    > vostri lettori saranno solo i quattro troll che
    > infestano i vostri
    > articoli.
    >
    > Spero che abbiate abbastanza lungimiranza da
    > concordare con me e prendere urgenti
    > provvedimenti.
    >
    > A presto (forse)

    E scusami che differenza c'è fra quattro oppure cinque troll? Se yrovi un tuo amico potemmo essere in sei troll.
    non+autenticato
  • - Scritto da: mementomori
    > Gent.ma redazione,
    >
    >
    Risposta seria. Il 'sacrilego' troll che tu credi in tanti, per la precisione è un'unica persona che non avendo nessunissima vita, men meno che sociale di alcun genere, passa qui giorni e notti a trollare, e non bastandogli si appropia anche di nick altrui, per la sola ragione che vorrebbe essere almeno un'unghia degli stessi.

    Saluti.
    non+autenticato
  • Fuddaro, guarda che l'unico demente che posta qui giorno e notte cambiando nick sei tu.

    "appropia"...
    non+autenticato
  • - Scritto da: mementomori
    > Gent.ma redazione,
    >
    > la scadente gestione (e rimozione) dei commenti
    > che violano le vostre stesse policy rende questo
    > forum un luogo poco piacevole da
    > visitare.
    > Se non intendete cambiare politica a breve i
    > vostri lettori saranno solo i quattro troll che
    > infestano i vostri
    > articoli.
    >
    > Spero che abbiate abbastanza lungimiranza da
    > concordare con me e prendere urgenti
    > provvedimenti.
    >
    > A presto (forse)

    se non fosse per noi troll, questo posto sugnoso avrebbe chiuso da un pezzo.
    non+autenticato
  • - Scritto da: mementomori
    > Gent.ma redazione,
    >
    > la scadente gestione (e rimozione) dei commenti
    > che violano le vostre stesse policy rende questo
    > forum un luogo poco piacevole da
    > visitare.
    > Se non intendete cambiare politica a breve i
    > vostri lettori saranno solo i quattro troll che
    > infestano i vostri
    > articoli.
    >
    > Spero che abbiate abbastanza lungimiranza da
    > concordare con me e prendere urgenti
    > provvedimenti.
    >
    > A presto (forse)

    la serieta' della redazione si misura in nanometri avendo come fondoscala il metro pieghevole dei muratori, la qualita' della maggioranza degli articolisti e' assimilabile al temine "bocciato", il servilismo nei confronti di apple e' etichettabile come "la nostra faccia schiacciata sotto i tupi piedi e puoi anche muoverti", la velocita' di pubblicazione insufficente. il grado di onesta' intellettuale ricorda il termine "pattume". Ma d'altro canto, quali sono le alternative? tomshw? hwupgrade?

    No, per quanto pustoloso ed infetto, PI ci serve.
    non+autenticato
  • I sistemi linux sono SONO ROBA DA SFIGATI E ASOCIALI e chi dice il contrario lo fa sicuramente solo per essere originale senza rendersi conto che si rende ridicolo davanti agli occhi di tutta la gente normale come me e tutti quelli che non usano quelle pernacchie. Magari lo fanno perche credono che si sentolo hacker (e quindi non conosco la grammatica) e non sanno che invece i sistemi windoows in un test sono risultati i migliori e piu sicuri del mondo. Se linux e tanto bello mi spiegate perche non lo caga nessuno eh? Adesso potete rispondere qualsiasi cosa tanto ho ragione io! La verita fa male A VOI AI QUALI LINUX PIACE!
    non+autenticato
  • vuoi battere il tuo compare sotto a chi trolla piu' male ?

    per me arrivi secondo anche se sei sempre lo stesso!
    non+autenticato
  • Andrea win ci riprovi cambiando Nick? patetico
    non+autenticato
  • - Scritto da: ...
    > Andrea win ci riprovi cambiando Nick? patetico
    Tu invece che posti come "... Il Fuddaro Magao ecc." invece cosa sei? Ah, scusa, il solito brufoloso cantinaro che l'unica passera che vede è quella che vola
    non+autenticato
  • la verità ti fa male lo so
    non+autenticato
  • vai con il nuovo flame di Andrea win. dai che il flame è iniziato
    non+autenticato
  • - Scritto da: Win10 user
    > I sistemi linux sono SONO ROBA DA SFIGATI E
    > ASOCIALI e chi dice il contrario lo fa
    > sicuramente solo per essere originale senza
    > rendersi conto che si rende ridicolo davanti agli
    > occhi di tutta la gente normale come me e tutti
    > quelli che non usano quelle pernacchie. Magari lo
    > fanno perche credono che si sentolo hacker (e
    > quindi non conosco la grammatica) e non sanno che
    > invece i sistemi windoows in un test sono
    > risultati i migliori e piu sicuri del mondo. Se
    > linux e tanto bello mi spiegate perche non lo
    > caga nessuno eh? Adesso potete rispondere
    > qualsiasi cosa tanto ho ragione io! La verita fa
    > male A VOI AI QUALI LINUX
    > PIACE!

    Certo che ti fa male.
    non+autenticato
  • Se le è necessario trollare, le chiederei almeno di farlo in un italiano leggibile, senza arrivare ad uno corretto.

    La ringrazio in anticipo.
    888