Con un’ormai consueta cadenza settimanale, il 31 agosto WikiLeaks ha pubblicato un nuovo rilascio della serie Vault 7, dedicata alle soluzioni informatiche utilizzate dalla CIA.
Angelfire è stato realizzato dalla divisione Information Operations Center (IOC) della CIA: è un framework composto da cinque componenti (di seguito descritti), in grado di infettare computer bersaglio per poi eseguire applicazioni malevole, minimizzando l’utilizzo di risorse e quindi la presenza di segnali indicanti il fatto che i malware siano presenti nel sistema.
Solartime : un malware che modifica i settori di avvio del disco, per caricare del codice kernel che andrà a modificare le impostazioni di avvio di Windows, in modo da poter eseguire dei malware durante la fase dedicata al caricamento dei driver di avvio. Sia Solartime che il driver maligno caricato sono salvati all’interno di un file utente, cifrato.
Wolfcreek : il codice kernel utilizzato da Solartime.
Keystone : in precedenza noto come MagicWand , è il malware che consente di eseguire applicativi utente. Il malware viene eseguito esclusivamente all’interno della memoria del processo, in modo da minimizzare la presenza di indicator of compromise nel sistema. Inoltre, i processi creati da Keystone risultano essere figli del processo di sistema svchost.exe
.
BadMFS : una libreria, provvista di interfaccia a riga di comando, che consente la creazione di un file system nascosto, in coda ad una partizione del disco. Viene utilizzato per salvare su disco i malware che devono essere eseguiti tramite Wolfcreek. Versioni alternative utilizzano un file chiamato zf
, invece dello spazio non partizionato.
Windows Transitory File System : un metodo, alternativo a BadMFS, per salvare i file dei malware su disco. Viene soprattutto utilizzato per installare Angelfire per la prima volta. Questo malware consiste in un applicativo chiamato wtpack.exe
e consente di salvare i malware all’interno di file temporanei, che possono essere creati, modificati ed eliminati per mezzo di un’interfaccia a riga di comando.
Angelfire supporta i sistemi operativi Windows XP, Vista, 7 e 2008 R2, sia a 32 che a 64 bit: dunque, i documenti pubblicati da WikiLeaks sono probabilmente antecedenti al 2012 .
Rispetto ad altri malware, Angelfire presenta punti deboli notevoli : problemi di memory leak , impossibilità di eliminare i driver malevoli, nomi di processo lasciati hard-coded .
Elia Tufarolo