Risale a qualche giorno fa la pubblicazione dell’ultima tranche di documenti relativi a Vault7 , quando Wikileaks reso disponibile online il materiale relativo ad Hive , l’infrastruttura di Command and Control realizzata dalla CIA per eseguire operazioni a livello Ring 2 su macchine Linux, ARM, MikroTik , AirOS, Solaris e Windows (2000, XP SP3, WinServer 2003).
RELEASE: Inside the top secret CIA virus control system HIVE https://t.co/Bs6LmsVALz pic.twitter.com/y79IVSukK0
– WikiLeaks (@wikileaks) 14 aprile 2017
Il progetto, nato con l’obiettivo di stabilire un punto di appoggio ( foothold ) sugli host per potervi poi eseguire tool più specifici, ha impegnato le risorse dell’Agenzia dall’ottobre 2010 fino a fine 2015, quando venne rilasciata la versione 2.9.1 oggetto del leak di questi giorni. Dalla documentazione rilasciata emerge come il sistema sia in grado di lavorare in due modalità, ossia con funzioni di beaconing e interactive shell .
Nella prima il tool simula una connessione SSLv3 via proxy per inviare in modo cifrato informazioni quali tool ID, uptime, MAC address, lista dei processi attivi, ipconfig/ifconfig, netstat -rn/-an al centro di comando, mentre la seconda permette all’operatore che disponga del client Hive di inviare un trigger ad una macchina infetta per aprire una connessione cifrata tramite AES al fine di inviare specifici comandi in grado di eseguire applicazioni, caricare/scaricare/cancellare file o addirittura aprire una shell all’host.
Come spiegato dallo staff di Wikileaks nel post relativo ad Hive, Symantec aveva fatto sapere di aver riscontrato in passato attività riconducibili all’utilizzo degli strumenti Vault7 da parte del gruppo Longhorn , senza però riuscire – fino a poche settimane fa – a collegarle direttamente all’Agenzia a causa della complessa rete di comunicazione tra frontend e backend.
Ovviamente tutta la vicenda Vault7 non sta facendo piacere né alla CIA né al suo nuovo direttore Mike Pompeo, il quale proprio il giorno prima del rilascio di Hive ha dichiarato che Wikileaks agisce e parla come un servizio di intelligence ostile (agli Stati Uniti). Senza entrare nel merito della questione, c’è da sperare che quanto scoperto da Wikileaks riesca a far innalzare (su scala globale) il livello di attenzione relativo alla cybersecurity e porti al più presto a proposte concrete per evitare che questi strumenti vengano utilizzati impunemente da persone senza scrupoli, come successo anche di recente con la piattaforma Galileo, oggetto del leak di Hacking Team .
Niccolò Castoldi