Ferramentas de hacking Vault7 tem dados que vem da CIA.
WikiLeaks descobriu um sistema similar que à operação que vem hackeando governos desde 2011.
O malware que o WikiLeaks Afirma pertencer à Agência Central de Inteligência foi definitivamente vinculado a uma operação avançada de hackers que vem penetrando governos e indústrias privadas em todo o mundo há anos, dizem pesquisadores da empresa de segurança Symantec.
Longhorn, como a Symantec chama o grupo, infectou governos e empresas nos setores;
1) Financeiro,
2) Telecomunicações,
3) Energia
4) Aeroespacial
Desde pelo menos 2011 e possivelmente já em 2007.
O grupo comprometeu 40 alvos em pelo menos 16 países do;
1) Oriente Médio
2) Europa,
3) Ásia,
4) África
Em uma ocasião, nos Estados Unidos, embora isso provavelmente tenha sido um erro.
E estão usando esse sistema para promover ataques e colocar culpa na China e na Rússia.
Estranha semelhança
O malware usado pelo Longhorn tem uma estranha semelhança com as ferramentas e métodos descritos nos documentos do Vault7.
Correspondências quase idênticas são encontradas em protocolos criptográficos, alterações no compilador de código-fonte e técnicas para ocultar o tráfego malicioso que sai das redes infectadas.
A Symantec, que rastreia Longhorn desde 2014, vinculou positivamente o grupo à CIA, mas concluiu que o malware que Longhorn usou por vários anos está incluído no cache Vault7 de manuais secretos de hackers que o WikiLeaks descobriu pertencer a CIA.
Praticamente ninguém está contestando a afirmação do WikiLeaks de que os documentos pertencem à agência dos Estados Unidos
Vídeo de tendências do Ars.
"Longhorn usou ferramentas avançadas de malware e vulnerabilidades de dia zero para se infiltrar em uma série de alvos em todo o mundo",
Escreveram pesquisadores da Symantec em um post publicado.
"Tomadas em conjunto, as ferramentas, técnicas e procedimentos empregados pela Longhorn são distintos e exclusivos para este grupo, deixando poucas dúvidas sobre sua ligação com o Vault7."
E estão usando esse sistema para acusar a China e a Rússia para alegar que estão fazendo ataques hackers.
O Anexo A no caso da Symantec são documentos do Vault7 que descrevem um malware chamado Fluxwire.
As diferenças de rastreamento do changelog de uma versão para a próxima correspondem dentro de um a alguns dias às alterações que a Symantec encontrou em um trojan Longhorn conhecido como Corentry.
As primeiras versões do Corentry também mostram que seus desenvolvedores usavam o mesmo local de arquivo de banco de dados do programa especificado na documentação do Fluxwire.
Uma alteração no Fluxwire versão 3.5.0 que remove o caminho do arquivo de banco de dados também corresponde às alterações que a Symantec rastreou no Corentry.
Até 2014, o código-fonte Corentry era compilado usando a GNU Compiler Collection.
Então, em 25 de Fevereiro de 2015, começou a usar o compilador Microsoft Visual C++.
A progressão corresponde às alterações descritas na documentação do Vault7.
Ainda mais semelhanças são encontradas em um carregador de módulo de malware Vault7 chamado Archangel e uma especificação para instalar esses módulos conhecidos como Fire and Forget.
A especificação e os módulos descritos combinam quase perfeitamente com um backdoor Longhorn que a Symantec chama de Plexor.
Outro documento do Vault7 prescreve o uso de criptografia interna nas comunicações já criptografadas usando o protocolo de camada de soquetes seguros, realizando trocas de chaves uma vez por conexão e o uso do Padrão de Criptografia Avançada com uma chave de 32 bits.
Ainda outros documentos do Vault7 descrevem o uso do protocolo de transporte em tempo real para ocultar dados enviados a servidores de comando e controle e uma variedade de "práticas de troca" semelhantes para manter as infecções ocultas.
Embora o malware de outros grupos use técnicas semelhantes, poucos usam exatamente as mesmas descritas nos documentos do Vault7.
Enquanto ativo desde pelo menos 2011, com algumas evidências de atividade desde 2007, o Longhorn chamou a atenção da Symantec pela primeira vez em 2014 com o uso de um exploit de dia zero ( CVE-2014-4148 ) incorporado em um documento do Word para infectar um alvo com Plexor.
O malware tinha todas as características de um sofisticado grupo de ciberespionagem.
Além do acesso a explorações de dia zero, o grupo havia pré-configurado o Plexor com um endereço de proxy específico para a organização, indicando que eles tinham conhecimento prévio do ambiente de destino.
Até o momento, a Symantec encontrou evidências das atividades da Longhorn contra 40 alvos espalhados por 16 países diferentes.
A Symantec viu o Longhorn usar quatro ferramentas de malware diferentes contra seus alvos:
1) Corentry,
2) Plexor,
3) Backdoor.
4) Trojan. LH1
5) Backdoor.
6) Trojan. LH2 .
Antes de implantar o malware em um alvo, o Longhorn o pré-configurará com o que parece ser palavras de código específicas do alvo e domínios C&C distintos e endereços IP para se comunicar.
Longhorn usa palavras de código em maiúsculas, referenciadas internamente como “groupid” e “siteid”, que podem ser usadas para identificar campanhas e vítimas.
Mais de 40 desses identificadores foram observados e normalmente seguem o tema de;
1) Filmes,
2) Personagens,
3) Comida
4) Música.
Um exemplo foi um aceno para a banda The Police, com as palavras-código REDLIGHT e ROXANNE usadas.
O malware do Longhorn possui uma extensa lista de comandos para controle remoto do computador infectado.
A maior parte do malware também pode ser personalizada com plug-ins e módulos adicionais, alguns dos quais foram observados pela Symantec.
O malware da Longhorn parece ter sido desenvolvido especificamente para operações do tipo espionagem, com recursos detalhados de impressão digital do sistema, descoberta e exfiltração.
O malware usa um alto grau de segurança operacional, comunicando-se externamente apenas em,
1) Horários selecionados,
2) Com limites de upload de dados exfiltrados e randomização de intervalos de comunicação.
Todas as tentativas de permanecer fora do radar durante invasões.
Para servidores C&C, o Longhorn normalmente configura uma combinação específica de domínio e endereço IP por destino.
Os domínios parecem ser registrados pelos invasores;
No entanto, eles usam serviços de privacidade para ocultar sua identidade real.
Os endereços IP são normalmente de;
1) Propriedade de empresas legítimas que oferecem servidores virtuais privados (VPS)
2) Serviços de hospedagem na web.
O malware se comunica com os servidores C&C por HTTPS usando um protocolo criptográfico subjacente personalizado para proteger as comunicações contra identificação.
Antes de o WikiLeaks publicar seus materiais do Vault7, a Symantec considerava a Longhorn uma organização com bons recursos que se dedicava a operações de coleta de informações.
Os pesquisadores basearam essa avaliação na gama global de alvos da Longhorn e em sua capacidade de usar malware bem desenvolvido e explorações de dia zero.
A Symantec também observou que o grupo parecia trabalhar uma semana de trabalho padrão de segunda a sexta-feira, com base em carimbos de data e hora e datas de registro de nomes de domínio, comportamento que é consistente com grupos patrocinados pelo estado.
A Symantec também descobriu indicadores - entre eles a palavra-código "scoobysnack" - e tempos de compilação de software - que mostravam que os membros do Longhorn falavam inglês e provavelmente moravam na América do Norte.
Desde que o WikiLeaks publicou sua primeira parte do Vault7 no início de Março, não houve nenhuma fonte externa para confirmar ou refutar a autenticidade dos documentos.
A pesquisa da Symantec estabelece sem dúvida que o malware descrito no tesouro é real e tem sido usado na natureza há pelo menos seis anos.
Também faz um caso convincente de que o grupo responsável é a CIA.
O artigo afirma claramente que esses hacks haviam sido identificados na natureza anteriormente e já haviam sido determinados como provavelmente o resultado de;
1) Uma organização profissional,
2) Língua inglesa
3) Provavelmente na América do Norte
Tudo muito antes do vazamento do Vault9.
Então, se a CIA estava tentando passar esses hacks como trabalho de outro estado-nação, como a China e a Rússia, com a tentativa de botar culpas neles, eles fizeram um péssimo trabalho.
A menos, é claro, que eles estivessem tentando culpar o Canadá.
Consulado dos Estados Unidos em Frankfurt é uma base secreta de hackers da CIA.
Além de suas operações em Langley, Virgínia, a CIA também usa o consulado dos Estados Unidos em Frankfurt como base secreta para seus hackers que cobrem a Europa, o Oriente Médio e a África.
Os hackers da CIA que operam fora do consulado de Frankfurt ( "Center for Cyber Intelligence Europe" ou CCIE) recebem passaportes diplomáticos ("negros") e cobertura do Departamento de Estado.
As instruções para os hackers da CIA fazem com que os esforços de contra-inteligência da Alemanha pareçam inconsequentes:
"Passe pela alfândega alemã porque você tem sua história de cobertura para ação, e tudo o que eles fizeram foi carimbar seu passaporte"
Sua história de capa para esta viagem.
P: Por que você está aqui?
R: Apoiar as consultas técnicas no Consulado.
Duas publicações anteriores do WikiLeaks fornecem mais detalhes sobre as abordagens da CIA às alfândegas e procedimentos de triagem secundária .
Uma vez em Frankfurt, os hackers da CIA podem viajar sem mais verificações de fronteira para os 25 países europeus que fazem parte da área de fronteira aberta de Shengen incluindo;
1) França,
2) Itália
3) Suíça
4) Bélgica
5) Inglaterra
Vários métodos de ataque eletrônico da CIA são projetados para proximidade física.
Esses métodos de ataque são capazes de penetrar em redes de alta segurança desconectadas da Internet, como banco de dados de registros policiais.
Nesses casos, um oficial da CIA, agente ou oficial de inteligência aliado agindo sob instruções, infiltra-se fisicamente no local de trabalho visado.
O invasor recebe um USB contendo malware desenvolvido para a CIA para esse fim, que é inserido no computador de destino.
O invasor infecta e exfiltra os dados para uma mídia removível.
Por exemplo, o sistema de ataque da CIA Fine Dining, fornece 24 aplicativos de chamariz para os espiões da CIA usarem.
Para as testemunhas, o espião parece estar executando um programa mostrando vídeos (por exemplo, VLC), apresentando slides (Prezi), jogando um jogo de computador (Breakout2, 2048) ou mesmo executando um falso antivírus (Kaspersky, McAfee, Sophos).
Mas enquanto o aplicativo chamariz está na tela, o sistema subjacente é automaticamente infectado e saqueado.
