Si chiamano AfterMidnight e Assassin i due software malevoli oggetto dell’ultimo rilascio di WikiLeaks datato 12 maggio, avvenuto in contemporanea (e per questo passato quasi in sordina) con la diffusione capillare del ransomware WannaCry . Si tratta dell’ottavo leak della serie Vault 7 con la quale, a partire dallo scorso marzo, l’organizzazione ha diffuso la documentazione relativa di tool ed exploit realizzati dalla CIA.
Nello specifico, quest’ultima pubblicazione riguarda cinque documenti che spiegano le modalità di caricamento ed esecuzione dei due malware, progettati entrambi per monitorare e riportare le azioni effettuate su computer infetti nonché per eseguire operazioni malevoli.
Il primo descritto è AfterMidnigth , un framework che permette agli operatori di caricare ed eseguire codice sulla macchina vittima .
Il controller principale si nasconde con le sembianze di un servizio DLL (Dynamic Link Library) Windows persistente, offrendo un’esecuzione sicura di payload chiamati ” Gremlins “, ispirati al famoso film di Steven Spielberg.
I Gremlins, come spiega il manuale rilasciato, sono piccoli payload di AfterMidnight che rimangono nascosti sul target in grado di sovvertire le funzionalità di processi esistenti, esfiltrare dati o fornire servizi interni e funzionalità per altri Gremlins. Il payload speciale ” AlphaGremlin “, ad esempio, fornisce anche un linguaggio di script personalizzato che consente agli operatori di pianificare attività su misura da eseguire sulla macchina di destinazione.
Una volta installato sulla macchina target, AfterMidnight richiama un LP ( Listening Post ) chiamato “Octopus” basato su HTTPS che controlla la presenza di nuovi piani di esecuzione su un server remoto. Se ce ne sono, scarica e memorizza tutti i componenti necessari prima di caricare nuovi Gremlins in memoria.
Per funzionare AfterMidnight necessita di un costante accesso a Internet , la porzione di memoria locale che utilizza è cifrata con una chiave che non è salvata sulla macchina vittima, inoltre se il malware non riesce a raggiungere l’LP non è in grado di eseguire i Gremlins.
I Gremlins che hanno la capacità di modificare la funzionalità di processi esistenti o nuovi sulla macchina vittima possono ritardare l’esecuzione di un processo, ucciderlo o bloccarlo permanentemente; queste attività possono essere programmate per essere attivate a determinati intervalli di tempo e su specifiche quantità di processi target.
In una simulazione estratta dal manuale d’uso di AfterMidnight viene mostrata l’esecuzione di alcune operazioni su due computer infettati, prima impedendo a un target di utilizzare il browser (in modo da far spendere all’utente più tempo sull’applicazione permettendo di collezionare più dati), poi infastidendo l’altro target ogni qualvolta utilizzi PowerPoint.
Nell’esempio seguente vengono uccisi tutti gli eseguibili di Internet Explorer e Firefox ogni 30 secondi:
Il secondo malware descritto in questo rilascio di WikiLeaks è Assassin . Molto simile ad AfterMidnight, si tratta di una piattaforma automatizzata che permette la raccolta di dati e l’esfiltrazione su macchine con sistema operativo Windows . Una volta che il tool è installato sulla macchina vittima, questo viene eseguito come servizio , con un comportamento molto simile a una backdoor trojan.
Assassin è composto da quattro sottosistemi: Implant , Builder , Command and Control e una Listening Post .
L’Implant implementa la logica e le funzionalità del tool, incluse le funzionalità di comunicazioni e gestione dei lavori. È configurato usando il Builder tramite riga di comando personalizzata.
Il sottosistema Command & Control agisce da interfaccia tra l’operatore e il Listening Post (LP) mentre l’LP permette all’Assassin Implant di comunicare con il sottosistema C&C attraverso un Web server.
Come illustrato nel manuale d’uso , Assassin usa un cifrario a flusso RC4 modificato per cifrare ogni dato che viene inviato o salvato sul file system target, la cui chiave non è salvata sulla macchina infettata.
Il vettore di installazione non è definito, ma possiamo supporre vulnerabilità di tipo remote code execution o eseguibili inviati tramite email come i ben conosciuti ransomware; ad esempio WannaCry che usa l’exploit di SMB rilasciato dagli Shadow Brokers .
Ilaria Di Maro