01/09/2017

WikiLeaks: Angelfire της CIA για το boot των Windows

Το WikiLeaks μόλις αποκάλυψε άλλο ένα μυστικό σχέδιο της CIA που χρησιμοποιήθηκε για την παραβίαση συστημάτων με Windows. Αυτή τη φορά το hacking εργαλείο φέρεται να στοχεύει στον τομέα εκκίνησης (boot sector) του λειτουργικού συστήματος και στη συνέχεια επιτρέπει την ανάπτυξη περισσότερων κακόβουλων λογισμικών. Το σχέδιο με το κωδικό όνομα Angelfire, είχε σαν στόχο τα Windows XP και τα Windows 7 και αποτελούνταν από 5 διαφορετικά hacking εργαλεία που συνεργάζονταν για να παραβιάσουν ένα σύστημα.
- Πρώτα απ ‘όλα, διέθετε το Solartime, ένα malware του οποίου ο πρωταρχικός στόχος είναι να τροποποιήσει τον τομέα εκκίνησης των Windows,
- φορτώνοντας ένα δεύτερο module που ονομαζόταν Wolfcreek. Αυτό περιείχε το σύνολο των οδηγών που θα του επέτρεπαν να σταματήσει τη λειτουργία άλλων οδηγών και εφαρμογών.
- Το τρίτο εργαλείο που ονομάζεται Keystone, αναπτύχθηκε από την CIA ειδικά γιατί επέτρεπε στους πράκτορες της να εφαρμόσουν επιπλέον κακόβουλα προγράμματα στα μολυσμένα συστήματα.
- Το τέταρτο κακόβουλο λογισμικό, ονομάζεται BadMFS και μπορούσε να αποθηκεύει τα δεδομένα κρυπτογραφημένα και συγκεχυμένα.
- Το τελευταίο εργαλείο είναι το Windows Transitory File System, το οποίο το WikiLeaks αναφέρει ότι σχεδιάστηκε σαν εναλλακτική λύση του BadMFS και του οποίου ο σκοπός ήταν να χρησιμοποιεί προσωρινά (RAM) αρχεία αντί να χρησιμοποιεί κάποιο σύστημα αρχείων που αποθηκεύει τις πληροφορίες τοπικά (στον σκληρό).

Το WikiLeaks εξηγεί ότι παρά τα περίπλοκα συστατικά που περιείχε το Angelfire, τα εργαλεία hacking θα μπορούσαν να ανακαλυφθούν μάλλον εύκολα, εξαιτίας μιας σειράς ζητημάτων που ακόμη και η CIA τα αναγνώριζε στα εγχειρίδια που εξηγούν την χρήση. Για παράδειγμα, το Keystone κρυβόταν ως αντίγραφο του svchost.exe και υπήρχε πάντοτε στο C:\Windows\system32. Οπότε αν το λειτουργικό σύστημα είχε εγκατασταθεί σε διαφορετικό δίσκο, η διαδικασία θα μπορούσε να προκαλέσει δυσλειτουργίες που θα φανέρωναν το κακόβουλο λογισμικό. Επιπλέον, το σύστημα αρχείων BadMFS δημιουργεί ένα αρχείο που ονομάζεται zf, το οποίο ενδέχεται να είχαν συναντήσει κάποιοι χρήστες όταν εργαζόταν στα συστήματά τους. Τα έγγραφα που διέρρευσαν δεν είναι χρονολογημένα, αλλά δεδομένου ότι το Angelfire αφορούσε ειδικά το Windows 7 και το Windows XP, υπάρχει πιθανότητα το project να είχε αναπτυχθεί πριν την κυκλοφορία των Windows 8 το 2012.

Η σημερινή διαρροή είναι μέρος μιας μεγαλύτερης σειράς που ονομάζεται Vault 7. Το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου του 2017: https://secnews.gr/160490/wikileaks-cia-angelfire/

No comments :

Post a Comment