Vault 7: Ferramentas de hacking da CIA reveladas
Conteúdo
• Análise
• Exemplos
Hoje, terça-feira, 7 de março de 2017, WikiLeaks começa sua nova
série de vazamentos na Agência Central de Inteligência dos EUA. Codificado
"Vault 7" por WikiLeaks, é a maior publicação de documentos
confidenciais na agência.
A primeira parte completa da série, "Year Zero", é
composta por 8.761 documentos e arquivos de uma rede isolada de alta segurança,
situada dentro do Centro de Inteligência Cibernética da CIA em Langley Virgina. Segue-se uma
divulgação introdutória no mês passado da CIA visando os partidos políticos e candidatos franceses
na preparação para a eleição presidencial de 2012 .
Recentemente, a CIA perdeu o controle da maioria de seu arsenal
de hackers, incluindo malware, vírus, trojans, ataques armados de "dia
zero", sistemas de controle remoto de malware e documentação
associada. Esta coleção extraordinária, que equivale a mais de várias centenas
de milhões de linhas de código, dá ao seu possuidor toda a capacidade de
hacking da CIA. O arquivo parece ter sido distribuído entre antigos
hackers e contratados do governo dos Estados Unidos de uma maneira não
autorizada, um dos quais forneceu ao WikiLeaks partes do arquivo.
"Year Zero" apresenta o escopo e a direção do programa
global de hacking da CIA, seu arsenal de malwares e dezenas de ataques armados
de "dia zero" contra uma ampla gama de produtos de empresas
americanas e européias, incluindo o iPhone da Apple, Até mesmo TVs Samsung, que
são transformados em microfones encobertos.
Desde 2001, a CIA ganhou preeminência política e orçamentária
sobre a Agência Nacional de Segurança dos EUA (NSA). A CIA viu-se
construindo não apenas a sua agora infame frota de aviões não tripulados, mas
um tipo muito diferente de força secreta e abrangente - a sua própria frota
substancial de hackers. A divisão de hacking da agência libertou-a de ter
que divulgar suas operações, muitas vezes controversas, para a NSA (seu principal
rival burocrático), a fim de aproveitar as capacidades de hacking da NSA.
Até o final de 2016, a divisão de hackers da CIA, formalmente abrangida pelo Centro de Inteligência
Cibernética (CCI) da agência , tinha mais de 5000
usuários registrados e produzido mais de mil sistemas de hackers, trojans,
vírus e outros malwares "armados" . Tal é a escala do
compromisso da CIA de que em 2016, seus hackers haviam utilizado mais código do
que o usado para rodar o Facebook. A CIA criou, de fato, sua "NSA
própria"
Em uma declaração à WikiLeaks, a fonte detalha as questões
políticas que dizem urgentemente precisam ser debatidas em público, inclusive
se as capacidades de hacking da CIA excedem seus poderes mandatados e o
problema da supervisão pública da agência. A fonte deseja iniciar um
debate público sobre a segurança, criação, uso, proliferação e controle
democrático das armas cibernéticas.
Uma vez que uma única "arma" cibernética é
"solta", ela pode se espalhar pelo mundo em segundos, para ser usada
por estados rivais, máfia cibernética e hackers adolescentes.
Julian Assange, editor do WikiLeaks, afirmou que "existe um
extremo risco de proliferação no desenvolvimento de" armas
"cibernéticas. Podem-se fazer comparações entre a proliferação
descontrolada de tais" armas ", resultante da incapacidade de as
conter, Valor e o comércio global de armas, mas o significado do "ano
zero" vai muito além da escolha entre cyberwar e cyberpeace. A revelação
também é excepcional do ponto de vista político, legal e forense.
O Wikileaks revisou cuidadosamente a divulgação do "Ano
Zero" e publicou documentação substancial da CIA, evitando a distribuição
de armas cibernéticas armadas até que um consenso emerge sobre a natureza
técnica e política do programa da CIA e como tais armas devem ser analisadas,
desarmadas e publicadas .
Wikileaks também decidiu redigir e
anónimos algumas informações de identificação em "Year Zero" para a
análise em profundidade. Estas redacções incluem dez de milhares de alvos
da CIA e máquinas de ataque em toda a América Latina, Europa e Estados
Unidos. Embora estejamos cientes dos resultados imperfeitos de qualquer
abordagem escolhida, continuamos comprometidos com nosso modelo de publicação e
observamos que a quantidade de páginas publicadas no "Vault 7" parte
um ("Ano Zero") já eclipsa o número total de páginas publicadas Os
primeiros três anos dos vazamentos de Edward Snowden NSA.
CIA malware metas iPhone,
Android, smart TVs
CIA malware e ferramentas de hacking são construídos por EDG
(Engineering Development Group), um grupo de desenvolvimento de software dentro
CCI (Center for Cyber Intelligence), um departamento pertencente à CIA DDI
(Diretório de Inovação Digital). A DDI é uma das cinco principais
diretorias da CIA (veja este organograma da CIA para mais detalhes).
O GED é responsável pelo desenvolvimento, teste e suporte
operacional de todos os backdoors, explorações, cargas maliciosas, trojans,
vírus e qualquer outro tipo de malware usado pela CIA em suas operações
secretas em todo o mundo.
A crescente sofisticação das técnicas de vigilância fez
comparações com George Orwell, de 1984, mas "Weeping Angel", desenvolvido
pela Embedded Devices Branch (EDB) da
CIA , que infesta as TVs inteligentes, transformando-as em microfones
encobertos, é certamente a sua realização mais emblemática.
O ataque contra a Samsung TVs inteligentes foi desenvolvido
em cooperação com o Reino Unido do MI5 / BTSS. Após a infestação, Weeping
Angel coloca a TV alvo em um modo "Fake-Off", de modo que o proprietário
acredita falsamente que a TV está desligada quando ela está ligada. No
modo "Fake-Off", a TV funciona como um bug, gravando conversas na
sala e enviando-as através da Internet para um servidor secreto da CIA.
A partir de outubro de 2014 a CIA também estava olhando
para infectar os sistemas de controle de veículos usados por
carros modernos e caminhões . A finalidade de tal controle
não é especificada, mas permitiria que a CIA se envolvesse em assassinatos
quase indetectáveis.
A divisão de dispositivos móveis da CIA (MDB) desenvolveu inúmeros ataques para hackear e controlar
remotamente telefones inteligentes populares . Os telefones
infectados podem ser instruídos a enviar à CIA a geolocalização do usuário, as
comunicações de áudio e de texto, bem como ativar secretamente a câmera e o
microfone do telefone.
Apesar da participação minoritária do iPhone (14,5%) no mercado
mundial de telefones inteligentes em 2016, uma unidade especializada no
Departamento de Desenvolvimento Móvel da CIA produz malware para infestar,
controlar e exfiltrar dados de iPhones e outros produtos Apple que executam iOS, como
iPads . O arsenal da CIA inclui inúmeros "dias zero", locais e remotos, desenvolvidos
pela CIA ou obtidos do GCHQ, NSA, FBI ou adquiridos de contratistas de armas
cibernéticas como a Baitshop. O foco desproporcional no iOS pode ser
explicado pela popularidade do iPhone entre as elites sociais, políticas,
diplomáticas e empresariais.
Uma unidade similar tem como alvo o Google Android, que é
usado para executar a maioria dos telefones inteligentes do mundo (~ 85%),
incluindo Samsung, HTC e Sony . 1,15 bilhões Android
powered telefones foram vendidos no ano passado. "Ano Zero"
mostra que, a partir de 2016, a CIA tinha 24 "armas" Android "zero
dias", que desenvolveu e obteve de GCHQ, NSA e ciber
armamentos.
Essas técnicas permitem que a CIA ignore a criptografia do
WhatsApp, do Sinal, do Telegrama, do Wiebo, do Confide e do Cloackman,
invadindo os telefones "inteligentes" que executam e colecionando o
tráfego de áudio e mensagens antes que a criptografia seja aplicada.
CIA malware metas Windows, OSx,
Linux, roteadores
A CIA também executa um esforço muito substancial para infectar
e controlar os usuários do Microsoft Windows com
seu malware. Isso inclui vários vírus locais e remotos "zero
dias", vírus de salto de ar, como "Hammer Drill" que infecta
software distribuído em CD / DVDs, infectors para mídias removíveis como USBs ,
sistemas para ocultar dados em imagens ou em áreas de
disco secreto ( "Canguru Brutal" ) e para manter suas infestações de malware em andamento .
Muitos desses esforços de infecção são reunidos pela AIA , que desenvolveu vários sistemas de
ataque para infestação automatizada e controle de malware da CIA, como
"Assassin" e "Medusa".
Os ataques contra a infra-estrutura da Internet e os servidores
web são desenvolvidos pela Rede de Dispositivos da Rede (NDB) da CIA .
A CIA desenvolveu sistemas automatizados de ataque e controle de
malware multi-plataforma que cobrem Windows, Mac OS X, Solaris, Linux e outros,
como o "HIVE" da EDB e as ferramentas "Cutthroat" e
"Swindle" relacionadas, descritas nos exemplos Abaixo .
Vulnerabilidades
"amontoadas" da CIA ("dias zero")
Na esteira dos vazamentos de Edward Snowden sobre a NSA, a
indústria de tecnologia dos EUA garantiu um compromisso da administração Obama
de que o executivo divulgaria de forma contínua - ao invés de tesouros -
vulnerabilidades sérias, explorações, bugs ou "zero dias" para a
Apple, Google, Microsoft e outros fabricantes com sede nos EUA.
Vulneráveis vulnerabilidades não reveladas aos fabricantes
colocam vastas áreas da população e infra-estruturas críticas em risco para a
inteligência estrangeira ou cibercriminosos que descobrem ou ouvem rumores
independentes da vulnerabilidade. Se a CIA puder descobrir tais
vulnerabilidades, outros podem fazer isso.
O compromisso do governo dos EUA com o Processo de
Equidade de Vulnerabilidades ocorreu após lobby
significativo por empresas de tecnologia dos EUA, que correm o risco de perder
sua participação no mercado global em relação a vulnerabilidades ocultas reais
e percebidas. O governo declarou que divulgaria todas as vulnerabilidades
difundidas descobertas após 2010 de forma contínua.
"Year Zero" documentos mostram que a CIA violou os
compromissos do governo Obama. Muitas das vulnerabilidades usadas no
arsenal cibernético da CIA são difundidas e algumas podem já ter sido
encontradas por agências de inteligência rivais ou criminosos cibernéticos.
Como exemplo, um malware específico da CIA revelado em "Ano
Zero" é capaz de penetrar, infestar e controlar tanto o telefone Android
eo software do iPhone que executa ou tem corrido contas presidenciais do Twitter. A
CIA ataca este software usando vulnerabilidades de segurança não reveladas
("dias zero") possuídas pela CIA, mas se a CIA pode cortar esses
telefones, então todos podem ter obtido ou descoberto a
vulnerabilidade. Enquanto a CIA mantiver essas vulnerabilidades ocultas da
Apple e do Google (que fazem os telefones), elas não serão corrigidas e os
telefones permanecerão hackeáveis.
As mesmas vulnerabilidades existem para a população em geral,
incluindo o Gabinete dos EUA, Congresso, CEOs, administradores de sistemas,
oficiais de segurança e engenheiros. Ao ocultar essas falhas de segurança
de fabricantes como Apple e Google a CIA garante que ele pode cortar todo mundo
& mdsh; À custa de deixar todos hackable.
Os programas de
"Cyberwar" constituem um grave risco de proliferação
Cyber "armas" não são possíveis de manter sob
controle efetivo.
Embora a proliferação nuclear tenha sido restringida pelos
enormes custos e infra-estrutura visível envolvidos na montagem de material
cindível suficiente para produzir uma massa nuclear crítica, as
"armas" cibernéticas, uma vez desenvolvidas, são muito difíceis de
reter.
Cyber "armas" são de fato apenas programas de
computador que podem ser pirateados como qualquer outro. Uma vez que eles
são inteiramente composto de informações que podem ser copiados rapidamente,
sem custo marginal.
Proteger essas "armas" é particularmente difícil, uma
vez que as mesmas pessoas que as desenvolvem e as utilizam têm a capacidade de
exfiltrar cópias sem deixar vestígios - às vezes usando as mesmas
"armas" contra as organizações que as contêm. Existem incentivos
de preços substanciais para hackers e consultores do governo para obter cópias,
uma vez que existe um "mercado de vulnerabilidade" global que pagará
centenas de milhares a milhões de dólares por cópias de tais
"armas". Do mesmo modo, os empreiteiros e as empresas que obtêm
essas "armas" às vezes as usam para seus próprios fins,
Nos últimos três anos, o setor de inteligência dos Estados
Unidos, formado por agências governamentais como a CIA e a NSA e seus
contratados, como a Booze Allan Hamilton, foi submetido a uma série sem
precedentes de exfiltrações de dados por seus próprios trabalhadores.
Vários membros da comunidade de inteligência que ainda não foram
nomeados publicamente foram presos ou sujeitos a investigações criminais
federais em incidentes separados.
Mais visivelmente, em 8 de fevereiro de 2017 e um grande júri
federal norte-americano acusou Harold T. Martin III com 20 acusações de má
informação classificada. O departamento de justiça alegou que apreendeu
aproximadamente 50.000 gigabytes da informação de Harold T. Martin III que
tinha obtido dos programas confidenciais em NSA e em CIA, including o código de
fonte para ferramentas de corte múltiplas.
Uma vez que uma única "arma" cibernética é "solta",
ela pode se espalhar pelo mundo em segundos, para ser usada pelos estados
pares, pela máfia cibernética e pelos hackers adolescentes.
O Consulado dos EUA em Frankfurt
é uma base secreta de hackers da CIA
Além de suas operações em Langley, Virgínia a CIA também usa o
consulado dos EUA em Frankfurt como uma base secreta para seus hackers cobrindo
Europa, Oriente Médio e África.
Os hackers da CIA que operam fora do consulado de Frankfurt
( "Centro para Cyber Intelligence Europe" ou
CCIE) recebem passaportes diplomáticos ("negros") e capa do
Departamento de Estado. As instruções para os hackers que chegam da CIA fazem com que os esforços
da contra-inteligência da Alemanha parecem inconsequentes: "Breeze através
da Alfândega Alemã, porque você tem sua história de cobertura para a ação, e
tudo o que eles fizeram foi carimbar o seu passaporte"
Sua história de capa (para esta viagem)
P: Por que você está aqui?
R: Apoiar consultas técnicas no Consulado.
Duas publicações anteriores WikiLeaks dar mais detalhes sobre
CIA abordagens de costumes e procedimentos de triagem secundária .
Uma vez em Frankfurt, os hackers da CIA podem viajar sem mais
verificações nas fronteiras dos 25 países europeus que fazem parte da área de
fronteira aberta de Shengen - incluindo a França, a Itália e a Suíça.
Uma série de métodos de ataque eletrônico da CIA são projetados
para proximidade física. Estes métodos de ataque são capazes de penetrar
redes de alta segurança que são desconectados da internet, como a base de dados
de registro da polícia. Nesses casos, um agente da CIA, agente ou agente
de inteligência aliado agindo sob instruções, fisicamente infiltra o local de
trabalho alvo. O atacante é fornecido com um USB contendo malware
desenvolvido para o CIA para este propósito, que é inserido no computador
alvejado. O atacante então infecta e exfiltra dados para mídia
removível. Por exemplo, o sistema de ataque da CIA Fine Dining , Fornece 24 aplicações
de chamariz para espiões da CIA para usar. Para as testemunhas, o espião
parece estar executando um programa mostrando vídeos (por exemplo, VLC),
apresentando slides (Prezi), jogando um jogo de computador (Breakout2, 2048) ou
mesmo executando um scanner de vírus falso (Kaspersky, McAfee,
Sophos). Mas enquanto a aplicação de chamariz está na tela, o sistema de
underlaying é automaticamente infectado e saqueado. 2048) ou até mesmo
executar um scanner de vírus falso (Kaspersky, McAfee, Sophos). Mas
enquanto a aplicação de chamariz está na tela, o sistema de underlaying é
automaticamente infectado e saqueado. 2048) ou até mesmo executar um
scanner de vírus falso (Kaspersky, McAfee, Sophos). Mas enquanto a
aplicação de chamariz está na tela, o sistema de underlaying é automaticamente
infectado e saqueado.
Como a CIA aumentou dramaticamente os riscos de
proliferação
No que é certamente um dos mais espantosos objetivos de
inteligência próprios na memória viva, a CIA estruturou seu regime de
classificação de modo que para a parte mais valiosa do mercado de "Vault
7" - o malware armado da CIA (implantes + zero dias) LP) e Sistemas de
Comando e Controle (C2) - a agência tem pouco recurso legal.
A CIA tornou esses sistemas desclassificados.
Por que a CIA optou por fazer o seu ciberespaço não classificado
revela como os conceitos desenvolvidos para uso militar não se cruzam
facilmente ao "campo de batalha" da "guerra" cibernética.
Para atacar seus alvos, a CIA geralmente requer que seus
implantes se comuniquem com seus programas de controle pela internet. Se
os implantes CIA, Command & Control e Listening Post software foram
classificados, então os oficiais da CIA poderia ser processado ou demitido por
violar as regras que proíbem a colocação de informações classificadas na Internet. Consequentemente,
a CIA secretamente fez a maior parte do seu ciberespionagem / código de guerra
não classificado. O governo dos EUA não é capaz de afirmar o direito de
autor, devido a restrições na Constituição dos EUA. Isso significa que
cyber "armas" fabricantes e hackers podem livremente
"pirata" essas "armas" Se forem obtidos. A CIA
teve principalmente de confiar na ofuscação para proteger seus segredos de
malware.
Armas convencionais, como mísseis, podem ser disparadas contra o
inimigo (ou seja, para uma área não segura). Proximidade ou impacto com o
alvo detona o arsenal incluindo suas partes classificadas. Assim, os
militares não violam as regras de classificação ao disparar munições com peças
classificadas. Ordnance provavelmente irá explodir. Se não, essa não
é a intenção do operador.
Durante a última década, as operações de hackers nos EUA foram
cada vez mais vestidas de jargão militar para explorar os fluxos de
financiamento do Departamento de Defesa. Por exemplo, a tentativa de
"injeções de malware" (jargão comercial) ou "implante
gotas" (jargão NSA) estão sendo chamados de "incêndios" como se
uma arma estava sendo disparada. No entanto, a analogia é questionável.
Ao contrário de balas, bombas ou mísseis, a maioria dos malwares
CIA é projetado para viver por dias ou até anos depois de ter atingido o seu
"alvo". CIA malware não "explodir no impacto", mas
permanentemente infesta seu alvo. Para infectar o dispositivo do alvo, cópias
do malware devem ser colocadas nos dispositivos do alvo, dando a posse física
do malware ao alvo. Para exfiltrar dados de volta para a CIA ou aguardar
instruções adicionais, o malware deve se comunicar com os sistemas CIA Command
& Control (C2) colocados em servidores conectados à Internet. Mas
esses servidores normalmente não são aprovados para manter informações
classificadas,
Um "ataque" bem-sucedido no sistema de computador de
um alvo é mais como uma série de manobras de ações complexas em uma oferta de
compra hostil ou o planejamento cuidadoso de rumores para ganhar controle sobre
a liderança de uma organização, em vez de disparar um sistema de armas. Se
há uma analogia militar a ser feita, a infestação de um alvo é talvez
semelhante à execução de toda uma série de manobras militares contra o
território do alvo, incluindo observação, infiltração, ocupação e exploração.
Evadir forense e anti-vírus
Uma série de padrões estabelecem padrões de infestação de
malware da CIA, que são susceptíveis de auxiliar os investigadores da área de
crime criminal, bem como a Apple, Microsoft, Google, Samsung, Nokia,
Blackberry, Siemens e empresas anti-vírus atribuem e defendem contra ataques.
"Tradecraft DO's and DON'Ts" contém
regras da CIA sobre como seu malware deve ser escrito para evitar impressões
digitais que impliquem a "CIA, governo dos EUA, ou suas empresas parceiras
witting" em "revisão forense". Padrões secretos semelhantes
cobrem o uso da criptografia para ocultar a comunicação e o hacker
da CIA (pdf), descrevendo destinos e dados exfiltrated (pdf),
além de executar cargas úteis (pdf) e persistentes (pdf) nas máquinas do alvo
ao longo do tempo.
Os hackers da CIA desenvolveram ataques bem-sucedidos contra
programas anti-vírus mais conhecidos. Estes são documentados em derrotas AV , Produtos de Segurança Pessoal , Detectando e derrotando PSPs e PSP / Debugger / RE Avoidance . Por
exemplo, Comodo foi derrotado pelo malware da CIA colocando-se na "Lixeira" da
Janela . Enquanto Comodo 6.x tem um "Buraco Gaping de DOOM" .
Os hackers da CIA discutiram o que os hackers do "Equation
Group" da NSA fizeram errado e como os fabricantes de malware da CIA poderiam evitar uma exposição
semelhante .
O sistema de gerenciamento do Grupo de Desenvolvimento de
Engenharia (EDG) da CIA contém cerca de 500 projetos diferentes (apenas alguns
deles são documentados por "Year Zero"), cada um com seus próprios
subprojetos, malware e ferramentas de hackers.
A maioria desses projetos está relacionada a ferramentas que são
usadas para penetração, infestação ("implantação"), controle e
exfiltração.
Outro ramo do desenvolvimento centra-se no desenvolvimento e
operação de Postos de Escuta (LP) e Sistemas de Comando e Controle (C2) usados
para comunicar com e controlar os implantes da CIA; Projetos especiais
são usados para direcionar hardware específico de roteadores para smart TVs.
Alguns projetos de exemplo são descritos abaixo, mas veja o
índice para a lista completa de projetos descritos por
"Ano Zero" do WikiLeaks.
UMBRAGE
A mão da CIA crafted técnicas de hacking representam um problema
para a agência. Cada técnica que criou forma uma "impressão digital"
que pode ser usada por investigadores forenses para atribuir vários ataques
diferentes à mesma entidade.
Isto é análogo a encontrar o mesmo ferimento distintivo da faca
em múltiplas vítimas de assassinato separadas. O único estilo ferido cria
a suspeita de que um único assassino é responsável. Assim que um
assassinato no set é resolvido, em seguida, os outros assassinatos também
encontrar atribuição provável.
O grupo UMBRAGE da Branch de Dispositivos Remotos da CIA coleta e mantém uma bibliotecasubstancial de técnicas de ataque
"roubadas" de malware produzido em outros estados, incluindo a
Federação Russa.
Com a UMBRAGE e projetos relacionados, a CIA não só pode
aumentar seu número total de tipos de ataque, mas também atribuir
equivocadamente, deixando para trás as "impressões digitais" dos
grupos que as técnicas de ataque foram roubadas.
Os componentes UMBRAGE abrangem keyloggers, captura de senhas,
captura de webcam, destruição de dados, persistência, escalonamento de
privilégios, stealth, anti-vírus (PSP) e técnicas de levantamento.
Jantar excelente
Fine Dining vem com um questionário padronizado, ou seja, menu
que os oficiais de caso da CIA preencher. O questionário é utilizado pela
OSB ( Agência de Apoio Operacional ) da agência
para transformar as solicitações de agentes de casos em requisitos técnicos
para ataques de hackers (normalmente "exfiltrando" informações de
sistemas de computador) para operações específicas. O questionário permite
que o OSB identifique como adaptar as ferramentas existentes para a operação e comunique
isso à equipe de configuração de malware da CIA. O OSB funciona como a
interface entre o pessoal operacional da CIA eo pessoal de suporte técnico
relevante.
Entre a lista de possíveis alvos da coleção estão
"Asset", "Liason Asset", "Administrador do
Sistema", "Operações de Informação Estrangeira", "Agências
de Inteligência Estrangeira" e "Entidades Governamentais
Estrangeiras". Não há qualquer referência a extremistas ou criminosos
transnacionais. O "Case Officer" também é solicitado a
especificar o ambiente do alvo, como o tipo de computador, sistema operacional
utilizado, conectividade à Internet e utilitários anti-vírus instalados (PSPs),
bem como uma lista de tipos de arquivos a serem exfiltrados como documentos do
Office , Áudio, vídeo, imagens ou tipos de arquivo personalizados. O
cardápio' Também pede informações se o acesso recorrente ao alvo é
possível e quanto tempo o acesso não observado ao computador pode ser
mantido. Esta informação é usada pelo software 'JQJIMPROVISE' da CIA (veja
abaixo) para configurar um conjunto de malware da CIA adequado às necessidades
específicas de uma operação.
Improvisar (JQJIMPROVISE)
'Improvise' é um conjunto de ferramentas para configuração,
pós-processamento, configuração de carga útil e seleção de vetor de execução
para ferramentas de levantamento / exfiltração que suportam todos os principais
sistemas operacionais como Windows (Bartender), MacOS (JukeBox) e Linux
(DanceFloor). Suas utilidades de configuração como Margarita permite que o
NOC (Network Operation Center) personalize ferramentas baseadas em requisitos
de perguntas "Fine Dining".
A HIVE é uma suite de malware da CIA multi-plataforma e seu
software de controle associado. O projeto fornece implantes
personalizáveis para Windows, Solaris, MikroTik (usado em roteadores da
Internet) e plataformas Linux e uma infra-estrutura de Post (LP) / Command and
Control (C2) para se comunicar com esses implantes.
Os implantes são configurados para comunicar via HTTPS com o
servidor web de um domínio de cobertura; Cada operação que utiliza estes
implantes tem um domínio de cobertura separado e a infra-estrutura pode tratar
qualquer número de domínios de cobertura.
Cada domínio de capa resolve para um endereço IP que está
localizado em um fornecedor comercial VPS (Virtual Private Server). O
servidor de frente ao público reencaminha todo o tráfego de entrada através de
uma VPN para um servidor de 'Blot' que lida com solicitações de conexão reais
de clientes. É configurado para a autenticação de cliente SSL opcional: se
um cliente envia um certificado de cliente válido (somente os implantes podem
fazer isso), a conexão é encaminhada para o servidor de ferramentas 'Honeycomb'
que comunica com o implante; Se um certificado válido está faltando (o que
é o caso se alguém tenta abrir o site de domínio de cobertura por acidente),
O servidor de ferramentas Honeycomb recebe informações
exfiltradas do implante; Um operador também pode fazer com que o implante
execute tarefas no computador de destino, de modo que o servidor de ferramentas
atue como um servidor C2 (comando e controle) para o implante.
Funcionalidade similar (embora limitada ao Windows) é fornecida
pelo projeto RickBobby.
Consulte os guias de usuário e desenvolvedor classificados para HIVE.
Porque agora?
WikiLeaks foi publicado assim que sua verificação e análise
estivessem prontas.
Em fevereiro o governo Trump emitiu uma Ordem Executiva pedindo
uma "Cyberwar" revisão a ser preparado dentro de 30 dias.
Embora a revisão tenha aumentado a oportunidade ea relevância da
publicação, ela não desempenhou um papel na definição da data de publicação.
Nomes, endereços de e-mail e endereços IP externos foram
redigidos nas páginas liberadas (70.875 redacções no total) até que a análise
seja concluída.
- Sobre-redação: Alguns itens podem ter
sido redigidos que não são funcionários, contratados, alvos ou de alguma
forma relacionados com a agência, mas são, por exemplo, autores de
documentos para projetos públicos que são usados pela agência.
- Identidade versus pessoa: os nomes redigidos são
substituídos por IDs de usuário (números) para permitir que os leitores
atribuam várias páginas a um único autor. Dado o processo de redação
usado uma única pessoa pode ser representada por mais de um identificador
atribuído, mas nenhum identificador refere-se a mais de uma pessoa real.
- Anexos de arquivo (zip,
tar.gz, ...) são substituídos por
um PDF listando todos os nomes de arquivos no arquivo. À medida que o
conteúdo do arquivo é avaliado, ele pode ser disponibilizado; Até
então o arquivo é expurgado.
- Os anexos com outro conteúdo
binário são substituídos por
um despejo hexadecimal do conteúdo para evitar a invocação acidental de
binários que podem ter sido infectados com malware CIA com armas. À
medida que o conteúdo é avaliado, pode ser disponibilizado; Até então
o conteúdo é redigido.
- As dezenas de
milhares de referências de endereços IP roteáveis (incluindo mais
de 22 mil dentro dos Estados Unidos) que correspondem a possíveis alvos,
servidores de correio secretos da CIA, sistemas intermediários e de teste
são redigidos para uma investigação mais exclusiva.
- Arquivos binários de origem
não pública estão
disponíveis somente como despejos para evitar a invocação acidental de
binários infectados por malware da CIA.
Organograma
O organograma corresponde ao material
publicado pela WikiLeaks até o momento.
Uma vez que a estrutura organizacional da CIA abaixo do nível
das Direcções não é pública, a colocação do GED e das suas sucursais no
organograma da agência é reconstruída a partir das informações contidas nos
documentos divulgados até agora. Destina-se a ser usado como um esboço da
organização interna; Tenha em atenção que o organograma reconstruído está
incompleto e que as reorganizações internas ocorrem com frequência.
Páginas Wiki
"Year Zero" contém 7818 páginas da web com 943 anexos
do groupware de desenvolvimento interno. O software utilizado para esse
fim é chamado Confluence, um software proprietário da Atlassian. Páginas
Web neste sistema (como em Wikipedia) têm um histórico de versão que pode
fornecer informações interessantes sobre como um documento evoluiu ao longo do
tempo; Os documentos 7818 incluem esses históricos de página para 1136
últimas versões.
A ordem das páginas nomeadas dentro de cada nível é determinada
por data (a mais antiga primeiro). O conteúdo da página não está presente
se originalmente foi criado dinamicamente pelo software Confluence (conforme
indicado na página re-construída).
Qual é o período de tempo coberto?
Os anos de 2013 a 2016. A ordem de classificação das páginas
dentro de cada nível é determinada por data (mais antiga primeiro).
O WikiLeaks obteve a data de criação / última modificação da CIA
para cada página, mas estas ainda não aparecem por razões
técnicas. Geralmente, a data pode ser discernida ou aproximada a partir do
conteúdo e da ordem das páginas. Se for crítico saber a data / hora exata
entre em contato com o WikiLeaks.
Sem comentários:
Enviar um comentário