WikiLeaks a publicat «tone» de documente ale CIA… …


 în care dezvăluie cum telefoanele, calculatoarele şi televizoarele au fost transformate în instrumente de ascultare. Și maşinile sunt controlate. CIA organizează cyber-atacuri

VAULT 7

WikiLeaks a publicat, începând cu luna martie 2017, o serie de 24 de seturi de documente confidențiale ale CIA – cea mai mare dezvăluire făcută vreodată a unor astfel de documente ale agenției.

Numită Vault 7, seria de dezvăluiri cuprinde fișiere ce datează din anii 2013-2016, oferind detalii despre capabilitățile software ale CIA, precum abilitatea de a compromite mașinile, televizoarele inteligente, browsere-le web (inclusiv Google Chrome, Microsoft Edge, Mozilla Firefox și Opera Software ASA) și sistemele de operare ale celor mai multe smartphone-uri (inclusiv Apple iOS și Google Android), precum și alte sisteme de operare, cum ar fi Microsoft Windows, MacOS și Linux.

Prima parte a seriei de dezvăluiri a fost lansată la 7 martie 2017, sub numele de cod Anul Zero (Year Zero) și a inclus 8.761 documente. Scurgerea de informații se presupune că a apărut din Centrul CIA pentru Inteligenţă Cibernetică (Cyber Intelligence) din Langley, documentele aparținând organizațiilor evidențiate în organigrama de mai jos, publicată de asemenea de WikiLeaks:

Anul Zero dezvăluie primele detalii despre „programul global de hacking derulat sub acoperire de CIA, program care utilizează tehnici de hacking inclusiv împotriva produselor companiilor americane, cum ar fi Apple iPhone, Android de la Google și Microsoft Windows dar și împotriva televizoarelor producătorului japonez Samsung, care sunt transformate în microfoane ascunse”, arată WikiLeaks.

WikiLeaks a postat pe Twitter linkul cu arhiva sub formă de torrent și mai apoi parola de acces la documente, despre care a afirmat că ar fi venit dintr-o rețea din interiorul Centrului CIA pentru Inteligenţă Cibernetică din Langley, Virginia, Statele Unite.

Printre cele mai notabile dezvăluiri sunt cele legate de tehnologiile IT pentru supravegherea oamenilor.

CIA a reușit să ocolească criptarea unor servicii obişnuite de telefonie și de mesagerie cum ar fi Signal, WhatsApp și Telegram. În conformitate cu declarațiile celor de la WikiLeaks, hackerii guvernamentali pot penetra telefoanele Android și pot colecta „traficul audio și de mesagerie înainte de a se aplica criptarea”.

O altă revelație importantă este aceea că CIA se poate angaja în operațiuni de tip „false flag” („steag fals”, înscenări) care să portretizeze Rusia sau alte țări ca fiind agresoare și organizatoare ale respectivelor atacuri cibernetice.

Discutând despre divizia CIA numită „ramura de dispozitive cu acţiune de la distanţă a grupului Umbrage ” – „Remote Devices Branch’s UMBRAGE group”, sursa WikiLeaksnotează că CIA „colectează și păstrează o bibliotecă variată de tehnici de atac folosind soft-uri de malware furate, care au fost produse în alte state, inclusiv în Federația Rusă”.

Cu proiectele din grupul Umbrage și cu alte proiecte conexe, CIA poate nu numai să crească numărul total de tipuri de atacuri cibernetice, dar și să direcţioneze greșit atribuirea atacului, lăsând în urmă «amprentele digitale» ale grupurilor de la care s-au furat tehnicile de atac. Componentele Umbrage acoperă keyloggers, pentru colectarea parolei, capturi de cameră web, distrugerea datelor, persistența, creșterea privilegiilor de acces, furturi de date, controlul anti-virus (PSP), tehnici de evitare și de anchetă.”

Kim Dotcom rezumă această constatare în felul următor: „CIA folosește tehnici pentru a realiza atacuri cibernetice care să arate că acestea ar proveni de la un stat inamic. Din acest motiv se prea poate ca unele atacuri considerate a fi făcute de Rusia (China etc.), să fie câteodată înscenări”.

Dar, probabil unul dintre cele mai notabile aspecte ale evenimentului este apariția odată cu aceste scurgeri a unei alte persoane de tip Snowden: sursa informațiilor a spus într-o declarație pentru WikiLeaks că dorește să inițieze o dezbatere publică cu privire la „securitate, la crearea, la utilizarea, la proliferarea dar și la controlul democratic al armelor cibernetice”.

Întrebările de politică care ar fi necesar să fie dezbătute în public includ: dacă s-a ajuns sau nu în situația în care capacitățile de hacking ale CIA depășesc competențele pentru care serviciul a fost mandatat cât și problema de supraveghere publică a agenției”, susține sursa menționată de WikiLeaks.

La secțiunea „Întrebări frecvente” se oferă detalii suplimentare cu privire la amploarea scurgerii de date. Perioada de timp acoperită de aceste dezvăluiri este cuprinsă între anii 2013 și 2016, în conformitate cu marcajele de dată de pe documentele CIA.

În al doilea rând, WikiLeaks a afirmat că nu a exploatat întreaga scurgere și că doar a verificat documentele, cerând jurnaliștilor și activiștilor să facă munca de detaliu.

Printre diferitele tehnici de ascultare dezvăluite de WikiLeaks se numără și aplicația Weeping Angel, dezvoltată de divizia CIA Embedded Devices Branch (EDB), aplicație care infestează televizoare inteligente, transformându-le în microfoane ascunse. După infestare, Weeping Angel plasează televizorul țintă într-un mod „fals off”, astfel încât proprietarul crede în mod eronat că televizorul este oprit atunci când de fapt acesta este pornit. În modul „fals off”, televizorul înregistrează conversațiile din cameră pe care le trimite prin internet la un server CIA, sub acoperire.

Kim Dotcom a scris pe Twitter: „CIA transformă televizoarele inteligente, iPhone-urile, consolele de jocuri și multe alte gadget-uri de consum în microfoane deschise”. El a adăugat „CIA a transformat fiecare Microsoft Windows PC din lume într-un spyware (într-un program spion). Programul spion se poate activa printr-o comandă ‘backdoors’ la cerere, inclusiv prin intermediul Windows Update”.

Julian Assange, editorul WikiLeaks a declarat că „există un risc de proliferare extremă în dezvoltarea de astfel de arme cibernetice”. Proliferarea necontrolată a unor astfel de arme – care rezultă din incapacitatea de a le controla, combinată cu valoarea lor ridicată pe piață – poate fi comparată cu cea a comerțului cu arme la nivel mondial. Dar semnificația Anului Zero merge dincolo de a alege între „războiul cibernetic” și „pacea cibernetică”. Dezvăluirea este de asemenea excepțională „din punct de vedere politic, juridic și medico-legal”, a mai spus Assange.

Punctele cheie dezvăluite de Vault 7:

1. Anul Zero dezvăluie întregul domeniu de aplicare și direcția programului global de hacking dezvoltat sub acoperire de CIA, arsenalul de malware și de zeci de „instrumente transformate în arme” care sunt folosite împotriva unei game largi de produse americane, europene și asiatice, care includ Apple iPhone, Android-ul de la Google și Microsoft Windows, ba chiar și televizoarele Samsung, care sunt transformate în microfoane ascunse.

2. WikiLeaks susține că CIA a pierdut controlul asupra majorității arsenalul său de hacking, inclusiv malware, viruși, troieni, „malware-uri transformate în armă”, sisteme de control de la distanță pentru malware, precum și documentația aferentă utilizării acestora. Această colecție extraordinară, care se ridică la mai mult de câteva sute de milioane de linii de cod, conferă posesorului întreaga capacitate a hacking-ului produs și deținut de CIA. Arhiva pare să fi circulat între hackerii oficiali ai guvernului SUA și diferiți contractori, într-un mod neautorizat, iar unul dintre ei a furnizat către WikiLeaksporțiuni din această arhivă.

3. Până la sfârșitul anului 2016, divizia de hacking a CIA, care se încadrează în mod oficial în cadrul agenției ca „Centrul pentru Inteligenţă Cibernetică” (Center for Cyber Intelligence – CCI), a avut peste 5.000 de utilizatori înregistrați și a produs mai mult de o mie de sisteme de hacking, troieni, viruși și alte malware „transformate în armă”. Aceasta este amploarea întreprinderii CIA care, până în 2016, prin hackerii săi, a scris mai multe linii de cod decât cele utilizate pentru a rula pe Facebook.

4. CIA a creat, de fapt, un „NSA propriu”, având mai puțină responsabilitate și fără a răspunde în mod public la întrebarea dacă o astfel de cheltuială bugetară masivă privind dublarea capacităților unei agenții rivale ar putea fi justificată.

5. Odată ce o singură „armă cibernetică” este furată și devine „liberă”, ea se poate răspândi în întreaga lume, în câteva minute, pentru a fi utilizată de către statele rivale, de către mafia cibernetică și de către tinerii hackeri deopotrivă.

CIA țintește dispozitivele iPhone, cele care utilizează Android, televizoarele inteligente dar și mașinile

„CIA malware” și celelalte instrumentele de hacking sunt construite de Grupul de Dezvoltare Inginerească – EDG (Engineering Development Group), un grup de dezvoltare de software din cadrul CCI (Centrul pentru Inteligenţă Cibernetică – Center for Cyber Intelligence), un departament aparținând DDI CIA (Direcția pentru Inovare Digitală). DDI este una dintre cele cinci direcții majore ale CIA (a se vedea organigrama CIA pentru mai multe detalii).

Sofisticarea crescândă a tehnicilor de supraveghere a atras comparații cu cartea lui George Orwell, 1984. Dintre aceste tehnici, programul Weeping Angel este cu siguranță realizarea cea mai emblematică a serviciului.

De asemenea, CIA controlează mașinile, ceea ce sugerează că agenția ar fi putut avea un rol în moartea lui Michael Hastings. Începând cu luna octombrie 2014, CIA s-a ocupat, de asemenea, de accesarea și infectarea sistemelor software de control ale vehiculelor, adică s-a ocupat de controlul de la distanță a softurilor utilizate de către mașinile și de către camioanele moderne. Scopul unui astfel de control nu este specificat, dar ar permite CIA să se angajeze în asasinate aproape nedetectabile.

… în care dezvăluie cum telefoanele, calculatoarele şi televizoarele au fost transformate în instrumente de ascultare. Și maşinile sunt controlate. CIA organizează cyber-atacuri

VAULT 7
Controlul calculatoarelor

CIA conduce un efort substanțial pentru a infecta și a controla calculatoarele utilizatorilor Microsoft Windows cu malware-urile sale. Aceasta include mai multe malware „locale” dar și altele „controlate de la distanță”, unele dintre ele apărând sub formă de viruși, cum ar fi „Hammer Drill” care infectează software-urile distribuite pe CD-uri / DVD-uri, alții sunt infectanţi pentru capacitățile de stocare amovibile, cum ar fi USB-urile, altele sunt sistemele de ascundere a datelor în imagini sau în unele zone de disc sub acoperire (cum ar fi aplicația „Cangurul Brutal”) și altele sunt făcute pentru a menține în funcțiune și a actualiza infestările CIA.

În urma dezvăluirilor făcute de Edward Snowden despre NSA, industria de tehnologie din SUA a fost asigurată printr-un angajament din partea administrației Obama că executivul va dezvălui în mod continuu vulnerabilitățile grave de acces și de exploatare, bazate pe bug-urile de la Apple, Google, Microsoft, precum și de la alți producători din SUA. Aceste vulnerabilități grave nu au fost dezvăluite producătorilor. Dacă CIA a putut descoperi astfel de vulnerabilități grave, cu siguranță și alte servicii secrete străine (ruse, chineze etc.) sau grupări private de hackeri au putut să o facă.

Proliferarea programelor / războiului cibernetic și scurgerile piratate ale softurilor CIA

În timp ce proliferarea nucleară este limitată de costurile enorme și de infrastructura vizibilă care este implicată în procesele de asamblare a unui material fisionabil suficient de important pentru a produce o masă nucleară critică, „armele cibernetice”, odată dezvoltate, sunt foarte greu de păstrat în siguranță. „Armele cibernetice” sunt de fapt doar programe de calculator care pot fi piratate, la fel ca oricare alt soft. Ele sunt alcătuite în întregime din fișiere executabile și de configurație care pot fi copiate rapid fără niciun cost marginal. De aceea, ele odată furate se pot răspândi foarte repede.

De-a lungul ultimilor ani, sectorul serviciilor secrete al Statelor Unite, care este format din agenții guvernamentale cum ar fi CIA și NSA și contractorii acestora, cum ar fi „Allan Hamilton”, a fost supus unor serii fără precedent de exfiltrații de date de către lucrătorii săi.

Odată ce o singură „armă cibernetică” este furată și devine „liberă”, ea se poate răspândi în întreaga lume, în câteva minute, pentru a fi utilizată de către statele rivale, de către mafia cibernetică și de către tinerii hackeri deopotrivă.

Consulatul SUA din Frankfurt este o bază CIA sub acoperire a hacker-ilor agenției

În plus față de operațiunile sale din Langley, Virginia, CIA folosește, de asemenea, consulatul SUA din Frankfurt ca o bază sub acoperire pentru hackerii săi. Baza din Frankfurt acoperă Europa, Orientul Mijlociu și Africa (EMEA).

Hackerii CIA care operează în afara consulatului din Frankfurt (Centrul pentru Inteligenţă Cibernetică pentru Europa sau Center for Cyber Intelligence Europe – CCIE) sunt acoperiți (lucrează „la negru”) și au pașapoarte diplomatice și de acoperire eliberate de Departamentul de Stat.

Instrucțiunile primite de hackerii CIA din Germania arată că eforturile de contraspionaj ale Germaniei sunt total neimportante: „Treceți prin vama germană pentru că aveți povestea cu acoperirea-pentru-acțiune mai jos, și tot ce au de făcut este să vă ștampileze pașaportul”.

Exemple de proiecte CIA

Sistemul managerial al unităţii CIA denumită Grupul de Dezvoltare Inginerească – Engineering Development Group (EDG) conţine aproximativ 500 de proiecte diferite (şi doar unele dintre acestea sunt documentate de Anul Zero), fiecare cu subproiectele proprii, malware şi instrumente de hacking. Majoritatea acestor proiecte sunt legate de instrumente utilizate pentru penetrare, infestare („implantare”), control şi exfiltrare.

Umbrage: grupul CIA denumit Remote Devices Branch’s UMBRAGE (Ramura de Dispozitive tip Telecomandă din cadrul UMBRAGE) colectează şi menţine o bibliotecă impresionantă de tehnici de atac „furate” de la malware-uri produse în alte state, inclusiv în Federaţia Rusă. Cu Umbrage şi proiecte conexe, CIA poate nu numai să crească numărul de tipuri de atacuri cibernetice dar și să direcţioneze în mod fals atribuirea acestora, lăsând ca urme „amprentele digitale” ale grupurilor de la care s-au furat tehnicile de atac.

Fine Dining: Fine Dining vine cu un chestionar standardizat care este meniul pe care ofiţerii CIA îl completează. Chestionarul este utilizat de OSB (Operational Support Branch – Ramura de Suport Operaţional) a CIA pentru a transforma cererile ofiţerilor care au diferite cazuri în necesităţi tehnice de atac tip hacker (în mod tipic „exfiltrând” informaţii din sisteme computerizate) pentru diferite operaţiuni specifice.

Pe lista posibilelor ţinte din toată colecţia sunt „bun de valoare”, „bun de valoare de legătură”, „administratorul sistemului”, „operaţiuni de informaţii străine”, „agenţii de informaţii străine” sau „entităţi guvernamentale străine”. În mod evident lipseşte orice referire la extremişti sau criminali transnaţionali.

„Improvizare”: un set instrumentar de configurare, post-procesare, setare a nivelului de cheltuieli şi selecţie a vectorului de execuţie pentru supravegherea uneltelor de exfiltrare care suportă toate sistemele majore de operare precum Windows (Bartender), MacOS (JukeBox) şi Linux (DanceFloor).

HIVE: HIVE este o multi-platformă de malware şi software-ul de control asociat. Proiectul furnizează implanturi care pot fi personalizate pentru Windows, Solaris, MiktoTik (utilizat pentru ruterele de internet) şi platforme Linux şi o infrastructură tip Post de Ascultare, Comandă şi Control (Listening Post (LP)/Command and Control (C2)) pentru a comunica cu aceste implanturi. Implanturile sunt configurate pentru a comunica via HTTPS cu webserverul unui domeniu de acoperire; fiecare operaţiune ce utilizează aceste implanturi are un domeniu separat de acoperire iar infrastructura poate mânui orice număr de domenii de acoperire.

Câteva secţiuni cheie de la FAQ:

Ce perioadă de timp acoperă documentele cuprinse în Vault 7?
Anii 2013-2016. Ordinea sortată a paginilor în interiorul fiecărei secțiuni este determinată de dată (prima este cea mai veche). WikiLeaks a obţinut ultima modificare a CIA pentru fiecare pagină dar acestea nu apar din motive tehnice. De obicei data poate fi determinată sau aproximată din conţinut şi din ordinea paginilor. Dacă este important de ştiut data exactă, contactaţi WikiLeaks.

Ce este Vault 7 (Bolta 7)?
Vault 7 este o colecţie substanţială de documente despre activităţile CIA, obţinută de WikiLeaks. Care este mărimea Vault 7? Colecţia este cea mai mare publicare de documente informative din istorie.

Cum a obţinut WikiLeaks fiecare parte din Vault 7?
Sursele de la care s-au obţinut documentele au încredere că WikiLeaks nu va revela informaţii care ar putea ajuta la identificarea lor.

WikiLeaks nu este îngrijorată că CIA va acţiona împotriva staff-ului ei pentru a opri seria de dezvăluiri?
Nu. Aceasta ar fi cu siguranţă contraproductiv.

DIN DOCUMENTELE ANTERIOARE

După lansarea primei serii de dezvăluiri, Anul Zero, Julian Assange a emis un comunicat de presă cu privire la eveniment, comunicat pe care l-a intitulat „În interiorul forţei de hacking globală a CIA” („Inside the CIA’s global hacking force”).

Redăm în continuare comunicatul de presă:

Vault 7: Uneltele de hacking ale CIA, revelate

Astăzi, 7 martie 2017, WikiLeaks începe o nouă serie de dezvăluiri referitoare la Agenţia CIA din SUA. Având numele de cod „Vault 7” dat de WikiLeaks, această serie de documente este cea mai mare din cele publicate vreodată referitoare la documente confidenţiale ale agenţiei.

Prima parte completă a seriei, Anul Zero, cuprinde 8761 de documente şi fişe de la o reţea izolată, de înaltă securitate, situată în interiorul Centrului pentru Inteligenţă Cibernetică (Center for Cyber Intelligence) al CIA, din Langley, Virginia.

Urmează o dezvăluire de început referitoare la acţiunile CIA din luna februarie care ţinteau partidele politice franceze şi candidaţii la preşedinţie pentru alegerile din anul 2012.

Recent, CIA a pierdut controlul asupra majorităţii arsenalului său de hacking, incluzând malware, viruşi cibernetici, troieni, sisteme tip „ziua zero” transformate în arme cibernetice, sisteme malware ce pot fi controlate de la distanţă şi documentaţia asociată.

Această colecţie extraordinară, care se ridică la mai mult de câteva sute de milioane de linii de cod, dă posesorului ei întreaga capacitate de hacking a CIA. Arhiva pare a fi circulat între foşti hackeri şi contractori ai guvernului SUA într-o manieră neautorizată, unul dintre aceștia furnizând site-ului WikiLeaks părţi din această arhivă.

Anul Zero introduce scopul şi direcţia programului global acoperit de hacking al CIA, arsenalul său de malware şi zeci de sisteme armate tip „ziua zero” împotriva unei game largi de produse ale unor companii americane şi europene, incluzând iPhone-ul Apple, Android-ul de pe Google, Windows al Microsoft şi chiar televizoarele Samsung, care sunt transformate în microfoane ascunse.

Din 2001, CIA a câştigat proeminenţă politică şi bugetară în faţa NSA (National Security Agency). CIA s-a trezit construindu-şi nu doar flota sa de drone cu renume nefast, dar şi un tip foarte diferit de acoperire, o forţă răspândită pe întregul glob – propria flotă substanţială de hackeri. Divizia de hackeri a agenţiei a scutit-o pe aceasta de a fi nevoită să dezvăluie NSA (principalul rival birocratic) desele operaţiuni controversate pe care le-a condus.

Spre sfârşitul anului 2016, divizia de hacking a CIA, care a „căzut” în mod formal sub jurisdicţia Centrului de Inteligenţă Cibernetică (Center for Cyber Intelligence – CCI), avea peste 5.000 de utilizatori înregistraţi şi produsese mai mult de 1.000 de sisteme de hacking, troieni, viruşi şi alte malware „transformate în armă”. Aceasta este scara de preluare a controlului de către CIA, spre finele lui 2016, hackerii ei utilizând mai multe codificări decât cele folosite pentru funcţionarea Facebook-ului. CIA a creat, de fapt, „propriul NSA” cu mai puţină contabilitate şi fără a fi nevoită să răspundă public la întrebarea dacă o asemenea cheltuială masivă de la buget pentru duplicarea capacităţilor unei agenţii rivale ar fi justificată.

Într-o declaraţie către WikiLeaks, sursa detaliază probleme despre care spune că este necesar să fie urgent dezbătute public, inclusiv dacă nu s-a ajuns la situația în care capacităţile CIA de hacking depăşesc puterile mandatate şi problema supravegherii publice a agenţiei. Sursa dorea să iniţieze o dezbatere publică despre securitatea, crearea, utilizarea, proliferarea şi controlul democratic al armelor cibernetice.

WikiLeaks a revizuit cu atenţie dezvăluirile Anului Zero şi a publicat documente CIA substanţiale evitând distribuirea de arme cibernetice până nu se stabilește un consens asupra naturii tehnice şi politice a programului CIA şi a modului în care asemenea „arme” ar fi necesar să fie analizate, neutralizate şi apoi făcute publice.

WikiLeaks a decis, de asemenea, să redacteze şi să treacă sub anonimat anumite informaţii de identificare din Anul Zero, pentru o analiză mai aprofundată. Aceste redactări includ zeci de mii de ţinte CIA şi maşinării de atac din America Latină, Europa şi Statele Unite. Chiar dacă suntem conştienţi de rezultatele imperfecte ale oricărei abordări alese, noi rămânem fermi fideli modelului nostru de publicare şi subliniem că deja cantitatea de pagini publicate în Vault 7 partea I (Anul Zero) eclipsează numărul total de pagini publicate în ultimii trei ani de Edward Snowden ca dezvăluiri din cadrul NSA.

… în care dezvăluie cum telefoanele, calculatoarele şi televizoarele au fost transformate în instrumente de ascultare. Și maşinile sunt controlate. CIA organizează cyber-atacuri

VAULT 7

Analiză

Malware-urile CIA ţintesc iPhone, Android, televizoare smart

Uneltele CIA de hacking şi malware sunt construite de Engineering Development Group(EDG), un grup de dezvoltare de softuri din interiorul CCI (Center for Cyber Intelligence), departament ce aparţine Directoratului de Inovare Digitală (Directorate for Digital Innovation – DDI) al CIA. DDI este unul din cele cinci directorate majore ale CIA).

EDG este responsabil de dezvoltarea, testarea şi suportul operaţional al tuturor posibilităţilor de pătrundere, exploatare, a încărcărilor maliţioase a notelor de plată, troienilor, viruşilor şi oricărei alte utilizări de malware de către CIA şi operaţiunile sale sub acoperire din întreaga lume.

Sofisticarea în creştere a tehnicilor de supraveghere a atras comparaţii cu romanul lui Geroge Orwell 1984, dar Wheeping Angel, dezvoltat de ramura EBD a CIA, care infestează televizoarele smart transformându-le în microfoane ascunse, este cu siguranţă cea mai emblematică realizare a departamentului.

Atacul împotriva televizoarelor smart Samsung a fost dezvoltat în cooperare cu MI5/ BTSS din Marea Britanie. După infestare, Wheeping Angel plasează televizorul ţintă într-un mod „fals off”, astfel că posesorul crede în mod eronat că televizorul său este închis când de fapt acesta este deschis. În modul „fals off” televizorul funcţionează ca un sistem de ascultare, înregistrând conversaţiile din cameră şi trimiţându-le prin internet la un server CIA sub acoperire.

Din octombrie 2014, CIA urmărea să infecteze sistemul de control al vehiculelor utilizat de maşinile şi camioanele moderne. Scopul unui asemenea control nu este specificat, dar ar permite CIA să se angajeze în asasinate aproape nedetectabile.

Ramura de Dispozitive Mobile (Mobile Devices Branch – MDB) a CIA a dezvoltat numeroase atacuri pentru a hăckui şi controla de la distanţă cele mai populare smartphone-uri. Telefoanele infectate pot fi „instruite” să trimită la serverele CIA geolocaţia utilizatorului, comunicaţiile audio şi text şi în plus să activeze pe ascuns camera foto şi microfonul telefonului.

În ciuda micii răspândiri a iPhone-urilor (14,5%) pe piaţa de smartphone în 2016, o unitate specializată din MDB-CIA a produs un malware care să infesteze, controleze şi exfiltreze date din iPhone-uri şi alte produse Apple care rulează iOS, cum ar fi iPad-urile.

Arsenalul CIA include numeroase „zile zero” locale şi controlate de la distanţă, dezvoltate de CIA sau obţinute de la GCHQ, NSA, FBI sau cumpărate de la contractori de arme cibernetice cum este Baitshop. Concentrarea disproporţionată pe iOS poate fi explicată de popularitatea iPhone-ului printre elitele sociale, politice, diplomatice şi de afaceri.

O unitate similară ţinteşte sistemul Android de la Google, program care este utilizat pentru funcţionarea majorităţii telefoanelor smart din întreaga lume (aproximativ 85%), incluzând Samsung, HTC şi Sony. 1,15 miliarde de telefoane pe care rulează Android au fost vândute anul trecut.

Anul Zero arată că din 2016, CIA are 24 de „zile zero” pe Androidul transformat în armă, care le-a dezvoltat în sine, şi care au fost obţinute de la GCHQ, NSA şi contractori de arme cibernetice. Aceste tehnici permit CIA să şunteze criptarea din WhatsApp, Signal, Telegram, Wiebo, Confide şi Cloackman prin acţiunea de hacking asupra telefoanelor smart care rulează aceste programe şi colectarea traficului de mesaje text şi convorbiri înainte să fie aplicată criptarea.

Malware-le CIA ţintesc Windows, Mac OS X, Linux, rutere

CIA, de asemenea, realizează un efort foarte substanţial pentru a infecta şi controla cu malware-urile sale utilizatorii de Microsoft Windows. Acestea includ multe „zile zero” locale şi de la distanţă care au fost transformate în armă, viruşi cibernetici cum ar fi Hammer Drill, care infectează programele distribuite pe CD-uri/DVD-uri, sisteme de infectare pentru USB-uri, sisteme de ascundere a datelor în imagini sau în zone acoperite de disc (Brutal Kangaroo) şi modalităţi de a face ca această infectare să se realizeze fără oprire.

La multe dintre eforturile acestea de infectare conlucrează întreaga ramură CIA denumită Automated Implant Branch (AIB), care a dezvoltat mai multe sisteme de atac pentru malware-urile CIA care realizează infestare şi control automatizat, cum ar fi Assassin şi Medusa.

Atacurile împotriva infrastructurii internetului şi a serverelor web sunt „construite” de ramura CIA Network Devices Branch (NDB).

CIA a dezvoltat o multiplatformă automatizată pentru sistemele de atac şi control incluse în malware-uri care sunt direcţionate împotriva Windows, Mac OS X, Solaris, Linux şi altele, cum ar fi HIVE de la EDB şi dispozitivele conexe Cutthroat şi Swindle, care sunt descrise în secţiunea de exemple de mai jos.

Hoarda de vulnerabilităţi CIA („zilele zero”)

Ca urmare a dezvăluirilor lui Edward Snowden despre NSA, industria SUA de tehnologie a secretizat un angajament al administraţiei Obama referitor la faptul că executivul va dezvălui pe măsură ce se descoperă vulnerabilităţi serioase, fapte, viruşi sau „zile zero” la Apple, Google, Microsoft şi alţi producători americani.

Vulnerabilităţile serioase nedezvăluite producătorilor supune zone mari de populaţie şi infrastructură critică riscului de a fi atacate de servicii secrete străine sau criminali cibernetici care au descoperit independent sau au auzit zvonuri despre existența respectivei vulnerabilități. Dacă CIA poate descoperi asemenea vulnerabilităţi, la fel de bine pot şi alţii.

Angajarea guvernului SUA în Procesul Capitalului de Vulnerabilităţi a venit după o activitate semnificativă de lobby realizată de către companiile tehnologice SUA, care riscă să-şi piardă locul pe piaţa globală din cauza unor vulnerabilităţi ascunse care sunt reale şi care au fost descoperite. Guvernul a declarat că va dezvălui toate vulnerabilităţile penetrante descoperite după 2010 pe măsură ce acestea sunt descoperite.

Documentele din Anul zero arată că CIA a violat angajamentele administraţiei Obama. Multe dintre vulnerabilităţile folosite în arsenalul cibernetic al CIA sunt insidios penetrante şi unele se poate să fi fost găsite deja de agenţii rivale sau de criminali cibernetici.

Ca un exemplu, un malware specific CIA revelat în Anul Zero este capabil să penetreze, infesteze şi controleze atât programele telefoanelor ce utilizează Android cât şi iPhone care au sau au avut conturi Twitter prezidenţiale. CIA atacă acest soft prin folosirea de vulnerabilităţi nedezvăluite („zile zero”) cunoscute de agenție, dar dacă CIA poate hăckui aceste telefoane, la fel poate face oricine altcineva care a obţinut sau a descoperit acea vulnerabilitate. Atât timp cât CIA păstrează secrete aceste vulnerabilităţi faţă de Apple şi Google (care au produs telefoanele) acestea nu vor fi reparate, iar telefoanele vor rămâne descoperite / vulnerabile.

Aceleaşi vulnerabilităţi există atât pentru populaţia largă, cât și pentru Cabinetul Prezidențial al SUA, Congres, CEO de top, administratori de sistem, ofiţeri de securitate şi ingineri. Ascunzând aceste breşe de securitate de producători ca Apple şi Google, CIA se asigură că poate hăckui pe oricine, oricând, cu preţul de a lăsa neprotejat pe oricine.

Programele de „război cibernetic” sunt un risc serios în creştere

Nu este posibil să ţii sub control eficient „armele” cibernetice. În timp ce proliferarea armelor nucleare a fost restrânsă de costurile enorme şi de vizibilitatea infrastructurii implicate în asamblarea a suficient material de fisiune pentru a produce o masă nucleară critică, „armele” cibernetice, odată dezvoltate, este dificil să le controlezi.

„Armele” cibernetice sunt de fapt programe de computer care pot fi piratate ca orice alt program. Iar atunci când sunt complet acoperite de informaţii, ele pot fi copiate rapid fără costuri marginale.

Securizarea unor asemenea „arme” este în mod special dificilă deoarece aceiaşi oameni care le dezvoltă şi le folosesc au abilităţi de a exfiltra copii fără să lase urme – uneori prin folosirea aceloraşi „arme” împotriva organizaţiilor care le deţin. Există stimulente financiare substanţiale pentru hackeri şi consultanţi guvernamentali în scopul de a obţine copii – există o „piaţă de vulnerabilităţi” globală care va plăti sute de mii, până la milioane de dolari pentru copii ale unor astfel de „arme”. În mod similar, contractori şi companii care obţin asemenea „arme”, uneori le utilizează pentru propriile lor scopuri, obţinând avantaje asupra altor competitori în vânzarea de servicii care au fost obţinute prin hacking.

În ultimii ani, sectorul serviciilor secrete americane, care constă în agenţii guvernamentale precum CIA, NSA şi contractorii lor, cum este Booze Allan Hamilton, au fost subiectul unei serii fără precedent de date exfiltrate de către proprii angajaţi. Un număr de membri din comunitatea serviciilor secrete, asupra cărora s-a păstrat anonimatul, au fost arestaţi sau supuşi investigaţiilor federale în diferite incidente separate.

Mai vizibil, pe 8 februarie 2017, un mare juriu federal îl acuza pe Harold T. Martin de 20 de situaţii de manevrare defectuoasă de informaţii clasificate. Departamentul Justiţiei a arătat că reţinuse de la Harold T. Martin III aproximativ 50.000 Gb de informaţii pe care el le obţinuse din programe clasificate de la NSA şi CIA, incluzând codul sursei pentru numeroase unelte de hacking. În momentul în care o singură „armă” cibernetică este scăpată de sub control, ea se poate răspândi în întreaga lume în câteva secunde, putând să fie folosită de alte state, de mafia cibernetică şi de adolescenţi hackeri.

Consulatul SUA din Frankfurt este o acoperire pentru baza CIA de activităţi de hacking

Pe lângă operaţiunile sale din Langley, Virginia, CIA foloseşte, de asemenea, consulatul SUA din Frankfurt ca bază sub acoperire pentru hackerii ei care se ocupă de Europa, Orientul Mijlociu şi Africa. Hackerilor CIA care operează în afara consulatului din Frankfurt (Center for Cyber Intelligence Europe – CCIE) li se dau paşapoarte diplomatice („negre”) şi acoperire din partea Departamentului de Stat.

Instrucţiunile pentru hackerii CIA care vin în Germania face ca eforturile contrainformaţiilor nemţeşti să pară inconsecvente: „Treceți fără probleme prin vama germană deoarece aveţi povestea de acoperire a acţiunii şi tot ceea ce ei fac este să vă ştampileze paşaportul”.

Povestea de acoperire a acţiunii dvs. (pentru această călătorie):
Î: De ce sunteţi aici?
R: Pentru a oferi consultaţii tehnice la Consulat.

Două postări anterioare pe WikiLeaks au dat detalii asupra modului de abordare a angajaţilor CIA la vamă şi asupra procedurilor secundare de screening. Odată ajunşi în Frankfurt, hackerii CIA pot călători fără alte verificări de frontieră în cele 25 de ţări europene care sunt parte din zona Shengen – incluzând Franţa, Italia şi Elveţia.

Un număr de metode de atac electronic ale CIA sunt desemnate pentru proximitate fizică. Aceste metode de atac sunt capabile să penetreze reţele de înaltă securitate care sunt deconectate de la internet, cum ar fi baza de date a poliţiei. În aceste cazuri, un ofiţer CIA, agent CIA sau ofiţer de servicii secrete aliate CIA acţionând sub instrucţiuni, infiltrează fizic locul de lucru ţintit. Atacatorul este dotat cu un USB cu malware dezvoltat pentru CIA în acest scop, şi care va fi inserat în computerul ţintă. Atacatorul apoi infectează şi exfiltrează date pe un suport media detaşabil. Spre exemplu, sistemul CIA de atac numitFine Dining furnizează 24 de aplicaţii tip „momeală” pentru utilizare de către spionii CIA. Pentru martori, spionul pare că rulează un program ce prezintă material video (de exemplu, VLC), prezintă slide-uri (Prezi), sau joacă un joc pe computer (Breakout 2, 2048) sau chiar rulează un fals program de scanare de viruşi (Kasperski, McAfee, Sophos). Dar în timp ce aplicaţia momenală este afișată pe ecran, sistemul care o suportă este în mod automat infectat şi cotrobăit.

Modul în care CIA a crescut în mod dramatic riscurile de proliferare

În ceea ce cu siguranţă reprezintă unul dintre scopurile de preţ ale serviciilor informative, CIA a structurat regimul său de clasificare astfel încât pentru cea mai mare parte a documentelor valoroase dezvăluite în Vault 7 – malware-le transformate în armă ale CIA (implanturi – zile zero), posturi de ascultare (PA) şi sisteme tip comandă şi control (C2) – agenţia are recurs legal mic.

CIA a făcut aceste sisteme neclasificate

De ce CIA a ales ca arsenalul său cibernetic să fie neclasificat, arată modul în care conceptele dezvoltate pentru utilizare militară nu trec cu uşurinţă pe câmpul de luptă al războiului cibernetic. Pentru a-şi ataca ţintele, CIA de obicei are nevoie ca implanturile ei să comunice cu programele de control prin internet. Dacă implanturile CIA, programele Comandă-şi-Control şi Post de Ascultare ar fi fost clasificate, atunci ofiţerii CIA ar putea fi acuzaţi sau concediaţi pentru violarea legilor care interzic plasarea de informaţii clasificate pe internet.

În consecinţă, CIA a făcut în mod secret mare parte a codului ei de spionaj/război cibernetic neclasificat. Guvernul SUA nu este în măsură să acorde nici copyright, datorită restricţiilor din Constituţia SUA. Aceasta înseamnă că producătorii de „arme” cibernetice şi hackerii de computere pot pirata în mod liber aceste „arme”, dacă sunt obţinute. CIA este necesar să se bizuie în primul rând pe confuzie pentru a proteja secretele malware-urilor sale.

Armele convenţionale precum rachetele pot fi trase spre inamic (adică spre o zonă fără protecţie). Apropierea de sau impactul cu ţinta detonează încărcătura armei, inclusiv părţile clasificate. Astfel, personalul militar nu violează legile clasificării atunci când trage cu arme ce includ părţi clasificate. Încărcătura cel mai sigur va exploda. Dacă nu explodează, nu este intenţia celui care a tras.

În ultimul deceniu, operaţiunile de hacking ale SUA au fost din ce în ce mai cosmetizate în jargon militar pentru a pătrunde în filoanele de finanţare ale Departamentului Apărării. Pentru moment, realizarea de „injecţii malware” (jargon comercial) sau „picături implantate” (jargon NSA) sunt denumite „focuri”, ca şi cum o armă ar fi tras unul/mai multe focuri. Oricum, analogia este plasată sub semnul întrebării.

În mod diferit faţă de gloanţe, bombe sau rachete, majoritatea malware-urilor CIA sunt destinate să existe zile sau chiar ani după ce şi-a atins „ţinta”. Malware-urile CIA nu „explodează la contact”, dar infestează aproape pentru totdeauna ţinta. Pentru a infecta dispozitivul ţintei, copii ale malware-ului este nevoie să fie plasate pe dispozitivul ţintei, dând capacitatea de posesie fizică a ţintei de către malware. Pentru a exfiltra date spre CIA sau pentru a aştepta instrucţiuni viitoare, malware-ul este necesar să comunice cu sistemele Comandă şi Control (C2) ale CIA plasate pe servere conectate la internet. Dar asemenea servere în mod specific nu sunt aprobate pentru a ţine informaţii clasificate, astfel că sistemele de comandă şi control ale CIA sunt, de asemenea, neclasificate.

Un „atac” de succes asupra sistemului computerului ţintă este mai degrabă ca o serie de manevre într-o comandă de preluare ostilă sau de plantare cu grijă de zvonuri cu scopul de a obţine controlul asupra conducerii unei organizaţii, decât ca o serie de focuri de armă. Dacă putem face o analogie militară, infestarea unei ţinte este probabil similară execuţiei unei serii de manevre militare împotriva teritoriului ţintei incluzând observări, infiltrări, ocupaţie şi exploatare.

… în care dezvăluie cum telefoanele, calculatoarele şi televizoarele au fost transformate în instrumente de ascultare. Și maşinile sunt controlate. CIA organizează cyber-atacuri

VAULT 7

Scăpând de cadrul legal şi de antivirus

O serie de standarde stabilesc tiparele de infectare ale malware-urilor CIA astfel încât acestea să inducă în eroare investigatorii unei infracțiuni cibernetice, producătorii Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens cât și companiile ce produc antiviruși ce caută să ofere protecție împotriva unor astfel de atacuri.

Tradecraft DO and DON’T” conţine regulile CIA despre modul în care malware-ul ar trebui scris pentru a evita amprente care ar implica „CIA, guvernul SUA, sau companiile lor partenere” în „raportul de investigație”. Standarde secrete similare acoperă utilizarea criptării pentru a ascunde comunicaţiile hackerilor CIA şi a malware-urilor CIA, descrierea ţintelor şi datelor exfiltrate ca şi plăţile pentru operațiune şi persistenţa în computerele ţintei de-a lungul timpului.

Hackerii CIA au dezvoltat atacuri de succes împotriva celor mai cunoscute programe antivirus. Acestea sunt documentate în Cuceririle AV, Produse pentru Securitatea Personalului, Detectarea şi apărarea PSP şi PSP/Debugger/RE Avoidance. De exemplu, Comodo a fost cucerit de un malware CIA care s-a plasat în „Recycle Bin”-ul Windows-ului. În timp ce Comodo 6.x are o „Gaping Hole of DOOM”.

Hackerii CIA discută ceea ce hackerii „Grupului Ecuaţiei” de la NSA au făcut greşit şi modul cum producătorii de malware CIA ar putea evita o expunere similară.

Exemple

Sistemul de management al Grupului de Dezvoltare Inginerească (Engineering Development Group – EDG) al CIA conţine aproximativ 500 de proiecte diferite (şi doar unele dintre acestea sunt documentate în Anul Zero) fiecare cu subproiectele, malware-urile şi instrumentele de hacker ale sale. Majoritatea acestor proiecte sunt în legătură cu unelte care sunt folosite pentru penetrare, infestare („implantare”), control şi exfiltrare.

O altă ramură de dezvoltare se concentrează asupra dezvoltării şi operării Posturilor de Ascultare (Listening Posts – LP) şi sistemelor de Comandă şi Control (C2) folosite pentru a comunica cu şi a controla implanturile CIA; proiecte speciale sunt folosite pentru a ţinti anumite hard-uri de la rutere la televizoare smart.

Anumite proiecte sunt date ca exemplu mai jos, dar este indicat să consultaţi şi lista întreagă de proiecte descrise în Anul Zero de pe WikiLeaks.

UMBRAGE

Tehnicile tip hacker utilizate manual pun o problemă pentru agenţie. Fiecare tehnică a creat forme de „amprente” care pot fi folosite de către investigatorii legali pentru a atribui diferite atacuri multiple unei aceleiaşi entităţi. Aceasta este analog cu a găsi aceeaşi tăietură specială de cuţit pe mai multe victime ale unor crime. Modul unic de rănire crează suspiciuni că un singur criminal este responsabil. Când una dintre crimele din serie este rezolvată, atunci celelalte crime vor fi atribuite aceluiaşi făptaş.

Grupul CIA denumit Ramura de Dispozitive pentru Control de la Distanţă (Remote Devices Branch) UMBRAGE colectează şi păstrează o bibliotecă substanţială de tehnici de atac „furate” de la malware-uri produse în alte state, inclusiv în Federaţia Rusă.

Cu UMBRAGE şi proiecte similare CIA nu doar îşi creşte numărul tipurilor de atac dar de asemenea direcţionează greşit atribuirea lor, lăsând în urmă „amprente” ale grupurilor de la care au fost furate tehnicile de atac.

Componentele UMBRAGE acoperă keyloggeri, colecţia de parole, capturile cu camera web, distrugerea de date, persistenţa, escaladarea privilegiului, stealth, evitarea antivirusului (PSP) şi tehnicile de supraveghere.

Fine Dining

Fine Dining vine cu un chestionar standardizat / meniu pe care ofiţerii CIA de caz îl completează. Chestionarul este utilizat de Ramura de Suport Operaţional (Operational Support Branch – OSB) pentru a transforma cererile ofiţerilor de caz în necesităţi tehnice pentru atacuri de hacking (adică „exfiltrarea” de informaţii din sistemele computerizate) pentru operaţii specifice. Chestionarul permite OSB să identifice cum să adapteze instrumentele existente pentru operaţiune şi să comunice aceasta staff-ului de configurare a malware-ului CIA. OSB funcţionează ca interfaţă între staff-ul operaţional CIA şi staff-ul relevant pentru suport tehnic.

Pe lista posibilelor ţinte ale colecţiei sunt „Asset”, „Liason Asset”, „System Administrator”, „Foreign Information Operations”, „Foreign Intelligence Agencies” şi „Foreign Government Entities”. În mod evident este absentă orice referinţă la extremişti sau criminali transnaţionali. „Ofiţerului de caz” îi este cerut de asemenea să specifice mediul ţintei, cum ar fi tipul computerului, sistemele de operare utilizate, conectivitatea la internet şi programe antivirus instalate (PSP-uri), precum şi o listă de tipuri de fişiere care vor fi exfiltrate, cum ar fi documente Office, tip de fişiere audio, tip de fişiere video, tip de fişiere cu imagini sau tip de fişiere obişnuite. „Menu”-ul de asemenea cere informaţii dacă accesul recurent la ţintă este posibil şi cât de mult timp poate fi menţinut accesul neobservat la computer. Această informaţie este folosită de programul JQJIMPROVISE al CIA pentru a configura un set de malware-uri CIA potrivite pentru necesităţile specifice ale unei operaţiuni.

Improvise (JQJIMPROVISE)

Improvise este un set de instrumente pentru configurare, post-procesare, setare a încărcăturii şi selecţia vectorului de execuţie pentru instrumentele de supraveghere/exfiltrare care susţin toate sistemele de operare majore precum Windows (Bartender), MacOS (JukeBox) şi Linux (DanceFloor). Sistemele lor de configurare precum Margarita permite Centrului de Operaţiuni în Reţea (NOC – Network Operation Center) să personalizeze instrumente pe baza cererilor din chestionarele Fine Dining.

HIVE (Stupul)

HIVE este un set complet de malware-uri pe o multi-platformă CIA şi programele asociate de control. Proiectul furnizează implanturi personalizate pentru Windows, Solaris, MikroTik (folosit la ruterele de internet) şi platforme Linux şi infrastructura pentru un Post de Ascultare (Listening Post)/Comandă şi Constrol (C2) pentru a comunica cu aceste implanturi.

Implanturile sunt configurate pentru a comunica via HTTPS cu serverul web al unui domeniu de acoperire; fiecare operaţiune ce utilizează aceste implanturi are un domeniu de acoperire separat şi infrastructura poate manevra orice număr de domenii de acoperire. Fiecare domeniu de acoperire este conectat la o adresă IP care este situată la un furnizor VPS (Virtual Private Sevrer) comercial.

Serverul care este faţa publică a întregii încrengături trimite mai departe tot traficul pe care îl primeşte via VPN spre un server „Blot” care se ocupă de cererile de conectare prezente de la clienţi. Este setat pentru autentificare opţională a clienţilor SSL: dacă un client trimite un certificat valid de client (doar implanturile pot face asta), conexiunea este trimisă mai departe la serverul de instrumente al „fagurelui” („honeycomb”) care comunică cu implantul. Dacă lipseşte un certificat valid (cum este cazul în care cineva încearcă să deschidă website-ul domeniului de acoperire din greşeală) traficul este trimis mai departe la un server de acoperire care livrează un website cu aparenţă fără pată.

Serverul „fagure” primeşte informaţii exfiltrate de la implant; un operator poate de asemenea să instruiască implantul să execute anumite funcţii pe computerul ţintă, astfel că serverul funcţionează ca un server C2 (comandă şi control) pentru implant.

O funcţionalitate similară (deşi limitată la Windows) este furnizată de proiectul RickyBobby.

Ar fi util să consultaţi pe WikiLeaks ghidurile clasificate pentru utilizarea şi dezvoltarea HIVE.

yogaesoteric.net
Acest articol a fost publicat în VIATA LIBERA. Pune un semn de carte cu legătura permanentă.

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.