9 lis 2017

Wikileaks opublikowało dzisiaj kod źródłowy HIVE - platformy CIA do kontroli malware

0


Niemal dwa miesiące po wydaniu aż 23 różnych narzędzi CIA do hakowania w ramach serii o nazwie "Vault 7", portal Wikileaks ogłosił w dniu dzisiejszym nową serię: "Vault 8". Seria ta ma ujawnić kody źródłowe i inne informacje o infrastrukturze backendu opracowanej przez amerykańską agencję wywiadowczą CIA.

Wikileaks opublikowała pierwszą część wycieku Vault 8, wydając kod źródłowy i niejawną dokumentację projektu o nazwie HIVE. Jest to znaczący komponent, wykorzystywany przez agencję do zdalnej kontroli złośliwego oprogramowania. 


Już w kwietniu 2017 roku portal Wikileaks ujawnił krótką informację o tym projekcie, ujawniając, że projekt jest zaawansowanym serwerem kontrolującym i sterującym (system kontroli złośliwego oprogramowania), który komunikuje się ze złośliwym oprogramowaniem, wysyłając polecenia, aby wykonać określone zadania na docelowych obiektach i odbierać przechwycone informacje z hostów.

HIVE jest zatem wielozadaniowym system typu "all-in-one", który może być używany przez pracowników CIA do zdalnej kontroli wielu złośliwych "implantów" używanych w różnych operacjach. Infrastruktura HIVE została specjalnie zaprojektowana, aby korzystać m.in. z wielostopniowej komunikacji za pośrednictwem wirtualnej sieci prywatnej (VPN). Według Wikileaks: 
  
Nawet jeśli zostanie wykryty implant na docelowym komputerze, to przypisanie go do CIA jest trudne, patrząc tylko na komunikację szkodliwego oprogramowania z innymi serwerami w Internecie.

Uproszczony schemat platformy HIVE
źródło: thehackernews.com

Jak pokazano na powyższym diagramie, implanty złośliwego oprogramowania bezpośrednio komunikują się z fałszywą witryną, działającą na komercyjnym wirtualnym serwerze prywatnym (VPS) na platformie CentOS, który wygląda niewinnie, gdy jest otwierany bezpośrednio za pomocą przeglądarki internetowej. Pakiety są filtrowane za pomocą iptables i przekierowywane do odpowiednich serwerów za pomocą połączeń VPN, w tym do specjalnego, ukrytego serwera o nazwie "Blot". Serwer Blot przekazuje następnie ruch do bramki zarządzania implantem - "Honeycomb".

Tutaj ciekawostka! Aby uniknąć wykrycia przez administratorów sieci, implanty szkodliwego oprogramowania używają fałszywych certyfikatów dla... Kaspersky Lab (sic!):

Trzy przykłady zawarte w kodzie źródłowym tworzą fałszywy certyfikat dla rosyjskiej firmy antywirusowej Kaspersky Lab, udającej podpisanie go przez Thawte Premium Server CA.

Powyższy certyfikat został wystawiony 30 września 2010 roku i ważny jest  na okres 10 lat, czyli do września 2020 roku. W udostępnionych przez Wikileaks materiałach znaleźć można również klucze prywatne i inne certyfikaty w formacie PEM. Ponadto, przeczytać można o projekcie zwanym Switchblade, który działa jako specjalne proxy wykorzystywane przez CIA:


Switchblade is an authenticating proxy for operational use with with other proxy services such as Hive and Madison. Switchblade employs self-signed public key certificates in conjunction with open-source web server Nginx and Linux IP policy routing to pass authenticated data to a tool handler and unauthenticated data on to a cover server.

Jak pewnie zauważyliście, mowa jest także o projekcie MADISON, niestety dotychczas Wikileaks nie ujawniło żadnych szczegółów z nim związanych.

Kod źródłowy opublikowany w serii Vault 8 zawiera jedynie oprogramowanie przeznaczone do działania na serwerach kontrolowanych przez CIA, podczas gdy WikiLeaks zapewnia, że ​​organizacja nie ujawni żadnych luk w zabezpieczeniach typu 0-day lub podobnych, które mogłyby zostać wykorzystane.

Repozytorium platformy HIVE można przeglądać pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/

Wspominany fałszywy certyfikat można znaleźć pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/client/ssl/CA/ca_crt/

Materiały z serii Vault 8 dostępne są pod tym adresem:
https://wikileaks.org/vault8/

Źródło:
https://wikileaks.org/vault8
https://thehackernews.com

Czytaj więcej...

7 lip 2017

Gyrfalcon i BothanSpy - implanty CIA do wykradania poświadczeń SSH

0


W dniu wczorajszym, tj. 06.07.2017 r. portal WikiLeaks opublikował kolejną, piętnastą już serię wycieku oznaczonego jako Vault 7, prezentując materiały z 2013 i 2015 roku dotyczące dwóch narzędzi (implantów) CIA, które umożliwiają tej amerykańskiej agencji skuteczne przechwytywanie poświadczeń SSH (Secure Shell) - sieciowy protokół kryptograficzny używany do zdalnego logowania przez niezabezpieczoną sieć. CIA wykorzystuje różne wektory ataków, a docelowymi systemami operacyjnymi są te z rodziny Windows oraz Linux.

Czytaj więcej...

25 cze 2017

Emisja ujawniająca i przechwycenie klucza AES-256 w kilkanaście sekund

0

Każde urządzenie i obwód w którym płynie prąd staje się źródłem występowania zjawiska promieniowania elektromagnetycznego i ujawnia pewne informacje, które można odczytywać za pomocą odpowiedniej technologii i narzędzi. Odbiór, rejestracja i analiza promieniowania elektromagnetycznego, które generują możliwość odtworzenia informacji nazywamy zjawiskiem emisji ujawniającej (nazywanej także ulotem). Związek pomiędzy przepływem prądu a polem magnetycznym umożliwia odczytywanie sygnałów pola elektromagnetycznego, składających się z informacji takich jak bity i piksele, które są przesyłane jako ciąg impulsów o określonej częstotliwości. Warto wspomnieć, że zjawisko emisji ujawniającej i wykorzystanie jej do celów przechwycenia informacji zostało wykorzystane po raz pierwszy ponad 100 lat temu. W 1914 roku niemiecka armia zaczęła wykorzystywać wzmacniacze lampowe połączone z elektrodami sondującymi do podsłuchiwania sygnałów z telefonów polowych zza linii frontu. Obecnie promieniowanie z urządzeń komputerowych jest na tyle silne, że za pomocą specjalistycznego sprzętu sygnał może zostać odebrany w niektórych warunkach z odległości kilkuset metrów, nawet 1 kilometra. Urządzenia tego typu nie są ogólnodostępne, stosowane są natomiast m.in. przez szpiegów i są na tyle niewielkie, że mieszczą się w samochodzie osobowym.

Czytaj więcej...

8 cze 2017

Malware Zusy, które może infekować komputer przez najechanie myszką na link w PowerPoint

0

Odkryto nowy ciekawy sposób na instalację złośliwego oprogramowania poprzez pliki prezentacji Microsoft PowerPoint, bez wykorzystania mechanizmów makr, JavaScript i VBA. Dzięki zmodyfikowanej wersji malware Zusy, teraz wystarczy otworzyć zainfekowany plik PowerPoint i najechać myszką na link lub odpowiednio ukryty na slajdzie tekst (np. hiperłącze w kolorze tła). W analizowanym przez portal sentinel.com złośliwym pliku PowerPoint, po otwarciu wyświetla się biały slajd z niebieskim napisem, który jest hiperłączem. Po najechaniu wskaźnikiem myszki na napis Loading... Please wait, aby sprawdzić adres linku, automatycznie uruchamiany jest złośliwy kod xml. Co więcej, kod ten uruchamiany jest bez kliknięcia przez użytkownika w hiperłącze! 

Cyberprzestępcy efekt ten osiągnęli poprzez wykorzystanie kodu PowerShell podczas definicji akcji dla elementu hover. Akcja ta została skonfigurowana do wykonania programu w PowerPoint zawsze gdy tylko użytkownik najedzie myszką na link. Na szczęście w nowszych wersjach Microsoft PowerPoint: 2010 oraz 2013, przed wykonaniem złośliwego kodu domyślnie wyświetlany jest taki oto monit, informujący o potencjalnym niebezpieczeństwie:
Złośliwy slajd z widocznym komunikatem po najechaniu myszką na link
(źródło: www.sentinel.com)

Niemniej jednak przez pośpiech, nieczytanie wyświetlanych komunikatów, lenistwo itp. użytkownicy mogą włączyć złośliwy kod (ważną kwestią tutaj będzie na pewno odpowiedni element socjotechniczny). Uruchomiony poprzez najechanie na hiperłącze (bez kliknięcia) złośliwy kod napisany w xml łączy się z serwerem C&C:
  • http://cccn.nl/c.php
  • http://cccn.nl/2.2
  • 46.21.169.110
  • http://basisinkomen.nl/a.php 
Pozostałe rekordy DNS powiązane z powyższym adresem IP: LINK.

Uwaga!
Zaobserwowano rozsyłanie wiadomości e-mail ze szkodliwym plikiem z adresów w domenie .pl

Złośliwy kod xml, umieszczony w elemencie rId2 i ppt/slides/_rels/slide1.xml.rels wygląda tak:
Złośliwy kod xml z widocznym fragmentem wywołującym Powershell
(źródło: www.sentinel.com)
Fragment kodu z akcją wywołującą złośliwy kod
(źródło: www.dodgethissecurity.com)


Następnie, po połączeniu wykonywany jest kod z pliku c.php umieszczonego na serwerze i pobierany jest do folderu tymczasowego stacji roboczej złośliwy plik o nazwie ii.jse (JScript Encoded File), który jest wykonywany przez WScript. Jak się okazało złośliwy kod został napisany w czystym C i może być z sukcesem wykonany również na urządzeniach Mac. Ostatecznie tworzony jest złośliwy program z rozszerzeniem .exe.

Warto również dodać, iż na złośliwy kod tego typu odporny jest PowerPoint Viewer, ponieważ nie obsługuje on uruchamiania zewnętrznych programów.
 
Analiza VirusTotal złośliwego pliku:
 
Na obecną chwilę złośliwy plik wykrywa mniej niż połowa oprogramowania antywirusowego na rynku. Złośliwa prezentacja występuje w formie pliku z rozszerzeniem .ppsx

Więcej informacji w języku angielskim na temat tego ataku możecie przeczytać pod tym adresem:

Źródło:
https://www.sentinel.com 
https://www.dodgethissecurity.com
https://virustotal.com

Czytaj więcej...

6 cze 2017

Ewidencja operacyjna Służby Bezpieczeństwa / MSW

1

Służba Bezpieczeństwa powstała po przekształceniu Urzędu Bezpieczeństwa, tuż po odwilży 1956 roku, gdzie znalazła się w strukturze Ministerstwa Spraw Wewnętrznych (MSW) jako jeden z pionów. W rzeczywistości państwo masowego terroru zostało zastąpione państwem rozległej kontroli i prewencji oraz selektywnych represji. Oprócz zmian personalnych, które otworzyły młodej kadrze drogę awansu nastąpiły zmiany organizacyjne, opracowano i wprowadzono nowe instrukcje i przepisy dotyczące działań "nowej" służby. Prowadzenie ewidencji operacyjnej było ważną kwestią związaną z pracą funkcjonariusza SB. 

Czytaj więcej...

1 cze 2017

28 GB wrażliwych danych Departamentu Obrony USA udostępnione w... chmurze Amazon

0

Analityk ds. ryzyka cybernetycznego firmy UpGuard, Chris Vickery odkrył 22 maja 2017 r. ok. 60 000 plików z amerykańskiego projektu wojskowego dla National Geospatial-Intelligence Agency (NGA) udostępnionych na serwerze w publicznej chmurze S3 Bucket Amazon. Dane zawierały hasła do systemu rządowego Stanów Zjednoczonych zawierającego niejawne informacje oraz dane uwierzytelniające pracowników firmy... Booz Allen Hamilton, jednego z największych kontrahentów w dziedzinie obronności w USA - tej w której m.in. pracował Edward Snowden. Choć Chris Vickery nie znalazł żadnego pliku niejawnego, to dane zawierały m.in. poświadczenia logowania się do zasobów, które mogły takie informacje zawierać.

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift