AfterMIdnight e Assassin Malware della CIA WikiLeaks Vault 7

AfterMidnight e Assassin Malware della CIA

WikiLeaks Vault 7

AfterMidnight e Assassin Malware della CIA WikiLeaks Vault 7. Da The Hacker News.

Mentre il mondo a che fare con la minaccia di auto-diffusione di WannaCry Ransomware, Wikileaks ha pubblicato un nuovo lotto di Vault 7 della CIA, specificando due framework di malware CIA per la piattaforma Microsoft Windows.

Soprannominati “AfterMidnight” e “Assassin“, entrambi programmi malware sono progettati per monitorare e riferire le azioni sul computer infetto che esegue il sistema operativo Windows ed eseguire azioni malevoli specificate dalla CIA.

La Pirateria Mascherata della CIA WikiLeaks

La Pirateria Mascherata della CIA WikiLeaks

AfterMidnight e Assassin Malware della CIA

Dal Mese di marzo, WikiLeaks ha pubblicato centinaia di migliaia di documenti e strumenti di hacking segreti che provenivano dalla CIA Statunitense. Questo ultimo gruppo è l’8° ad essere divulgato della serie chiamata Vault 7.

Malware AfterMidnight

Secondo una dichiarazione da Wikileaks, ‘AfterMidnight’ permette ai suoi operatori di caricare ed eseguire payload maligni su un sistema di destinazione in modo dinamico.

Il controller principale del payload maligno, travestito come un file di auto-persistente di Libreria di Collegamento Dinamico (DLL) Windows esegue “Gremlins“, piccole utilità che rimangono nascoste sul computer di destinazione sovvertendo la funzionalità del software mirato dall’attacco, sorvegliando il bersaglio, o fornire servizi per altri gremlins.

AfterMidnight e Assassin Malware della CIA Tweet WikiLeaks
Weeping Angel Malware

Weeping Angel Malware

AfterMidnight e Assassin Malware della CIA

Una volta installato su un computer di destinazione, AfterMidnight utilizza un sistema basato su HTTPS Listening Post (LP) denominata “Octopus” per verificare eventuali eventi programmati.

Se ne trovato uno, il malware scarica scarica e salva tutti i componenti necessari prima di caricare tutti i nuovi gremlins in memoria.

Secondo la guida all’uso fornita nell’ultimo batck da WikiLeaks, la memorizzazione locale di AfterMidnight viene crittografata con una chiave che non è memorizzato sul computer di destinazione.

Un carico speciale, chiamato “AlphaGremlin” contiene un linguaggio di script personalizzato che permette agli operatori di pianificare attività personalizzate da eseguire sul sistema di destinazione.

Dark Matter Malware

Dark Matter Malware

AfterMidnight e Assassin Malware della CIA

Grasshopper Malware

Grasshopper Malware

AfterMidnight e Assassin Malware della CIA

Assassin si compone di quattro sottosistemi: Implant, Builder, Command and Control, and Listening Post (Impianto, Costruttore, Comando e Controllo, Punto di Ascolto).

Malware Assassin

Assassin è anche simile a AfterMidnight ed è descritto come “un impianto automatizzato che fornisce una semplice piattaforma di raccolta su computer remoti che eseguono il sistema operativo Microsoft Windows“.

Una volta installato sul computer di destinazione, questo strumento esegue l’impianto all’interno di un processo di servizio di Windows, che consente agli operatori di eseguire attività dannose su una macchina infetta, proprio come AfterMidnight.

Scribble Malware

Grasshopper Malware

AfterMidnight e Assassin Malware della CIA

  • L’Impianto fornisce il nucleo della logica di funzionamento di questo strumento su una macchina Windows di destinazione, incluse le comunicazioni e l’esecuzione dell’attività. Si è configurato utilizzando il ‘Costruttore’ e distribuito a un computer di destinazione tramite qualche vettore indefinito.

  • Il Costruttore configura l’Impianto e la ‘distribuzione dei file eseguibili’ prima della distribuzione e “fornisce un’interfaccia a riga di comando personalizzato per impostare la configurazione dell’impianto prima di generarlo”, si legge dello strumento manuale d’uso.
  • Il sottosistema Comando e Controllo funge da interfaccia tra l’operatore e il Posto di Ascolto (LP), mentre l’LP permette all’Impianto Assassin di comunicare con il sottosistema di comando e controllo attraverso un server web.

La scorsa settimana, WikiLeaks ha divulgato uno strumento di attacco man-in-the-middle (MitM), chiamato Archimede , presumibilmente creato dalla CIA per attaccare i computer di destinazione all’interno di una rete locale (LAN).

Questa pratica da parte delle agenzie di intelligence degli Stati Uniti di tenere nascoste le vulnerabilità, invece di rivelare ai venditori di software, ha raso al suolo tutto il mondo negli ultimi 3 giorni, in cui il ransomware WannaCry ha colpito i computer in 150 paesi utilizzando un difetto SMB che la NSA ha scoperto e ha tenuto segreto, ma che “The Shadow Brokers” ha successivamente fatto trapelare più di un mese fa.

Microsoft accusa la NSA per il suo ruolo nell’attacco ‘WannaCry’

Anche il presidente Microsoft Brad Smith ha condannato la pratica dell’agenzia di intelligence degli Stati Uniti, dicendo che il “danno diffuso” causato da WannaCry è accaduto a causa della NSA, CIA e altre agenzie di intelligence per avere tenuto nascoste le vulnerabilità di sicurezza.

Questo è un modello emergente nel 2017. Abbiamo visto le vulnerabilità memorizzati dalla CIA che appaiono su Wikileaks, e ora queste vulnerabilità rubate alla NSA hanno colpito i clienti di tutto il mondo“, ha detto Smith.

Marble Malware

Grasshopper Malware

AfterMidnight e Assassin Malware della CIA

Year Zero Malware

Year Zero Malware

AfterMidnight e Assassin Malware della CIA

Dal mese di marzo, il gruppo di whistleblowers ha pubblicato 8 lotti della serie Vault 7 che sono i seguenti, oltre a questi ultimi 2 e Archimede.

Year Zero – Anno Zero – hacking della CIA per piratare l’hardware e il software popolari.

Weeping Angel – Angelo Piangente – strumento di spionaggio utilizzati dall’agenzia per infiltrarsi in Smart TV, trasformandoli in microfoni nascosti.

Dark Matter – Materia Scura – incentrato sulla pirateria informatica sfruttata dall’agenzia e creata per identificare iPhone e Mac.

Marble – Marmo – ha rivelato il codice sorgente di un quadro segreto anti-forense, in pratica un offuscatore o di un software utilizzato dalla CIA per nascondere la vera fonte del suo malware.

Grasshopper – Cavalletta – un framework che ha permesso all’agenzia per creare facilmente dei malware personalizzati per la craccatura di Windows e bypassando la protezione antivirus.

Scribbles – Scarabocchi – un software presumibilmente progettato per incorporare un ‘web beacon’ nei documenti riservati, permettendo all’agenzia di spionaggio di monitorare addetti ai lavori e gli informatori.

CIA Archimede

Vault 7

Leggi l'Articolo

CIA Marbles

Vault 7

Leggi l'Articolo
Pillole Disclosure News Testata

Le Scoperte

La scoperta richiede fortuna, inventiva e intelligenza; una sola di queste qualità non è sufficiente, sono tutte e tre necessarie.  

Wolfgang Goethe

Sostieni Disclosure News Italia

Ci stiamo impegnando molto per mantenere questo blog e ci lavoriamo ogni giorno, cerchiamo e traduciamo articoli ma ne pubblichiamo anche di nostri. Come voi siamo alla ricerca della verità. Se volete collaborare con noi siete i benvenuti, scriveteci! Le spese del blog sono a nostro carico, la pubblicità ci rimborsa in modo molto marginale quindi se vi piace il nostro lavoro e lo trovate utile offriteci un caffè cliccando sul bottone di donazione con PayPal. Ci serve l'aiuto di gente come te!

Commenti Facebook

Pin It on Pinterest

Vai alla barra degli strumenti

Continuando a visitare questo sito acconsenti all'utilizzo dei cookies. Maggiori informazioni

I cookies su questo sito sono abilitati per permetterti una esperienza migliore. Visitando questo sito e cliccando Accetto ci consenti l'utilizzo dei cookies sul tuo computer. Ci dispiace dovere scrivere questa cosa in quanto la privacy è oramai una chimera e accettare o no i cookies non fa nessuna differenza dal punto di vista della privacy..

Chiudi