Rechercher sur ce blogue

vendredi 10 mars 2017

Vault 7: Outils de piratage de la CIA révélés

 Surveillance et renseignement:
  • Vault7: plus de 8 000 documents détaillants les outils de hacking de la CIA sont révélés par Wikileaks. Le .torrent est ici; la phrase de passe pour la décompression est ici. de 912 Mo.



Communiqué de presseAujourd'hui, mardi 7 mars 2017, WikiLeaks commence sa nouvelle série de fuites sur la Central Intelligence Agency des États-Unis. Code-nommé "Vault 7" par WikiLeaks, c'est la plus grande publication de documents confidentiels sur l'agence.La première partie intégrale de la série, «Year Zero», comprend 8 761 documents et fichiers d'un réseau isolé de haute sécurité situé à l'intérieur du Centre Cyber ​​Intelligence de la CIA à Langley, Virgina. Il s'ensuit une divulgation introductive le mois dernier de la CIA ciblant les partis politiques et les candidats français avant la tenue de l'élection présidentielle de 2012.Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de piratage, y compris les logiciels malveillants, les virus, les chevaux de Troie, les exploits «zéro jour» armés, les systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Cette collection extraordinaire, qui s'élève à plus de plusieurs centaines de millions de lignes de code, donne à son possesseur toute la capacité de piratage de la CIA. Les archives semblent avoir été diffusées entre les anciens pirates et entrepreneurs du gouvernement des États-Unis d'une manière non autorisée, l'un d'entre eux ayant fourni à WikiLeaks des portions de l'archive."Year Zero" présente l'étendue et la direction du programme de hacking global de la CIA, de son arsenal de logiciels malveillants et de dizaines d'exploits "zéro jour" contre une large gamme de produits américains et européens. Même les téléviseurs Samsung, qui sont transformés en microphones dissimulés.Depuis 2001, la CIA a gagné une prééminence politique et budgétaire par rapport à l'Agence de sécurité nationale des États-Unis (NSA). La CIA s'est trouvée construire non seulement sa flotte de drones maintenant infâme, mais un type très différent de la force secrète, globe-couvrant - sa propre flotte importante de pirates. La division de piratage de l'agence l'a libérée d'avoir à divulguer ses opérations souvent controversées à la NSA (son principal rival bureaucratique) afin de tirer parti des capacités de piratage de la NSA.À la fin de 2016, la division de piratage informatique de la CIA, formellement rattachée au Centre pour le cyberespace (CCI) de l'agence, comptait plus de 5000 utilisateurs enregistrés et avait produit plus de mille systèmes de piratage informatique, chevaux de Troie, virus et autres logiciels malveillants . Telle est l'ampleur de l'engagement de la CIA que d'ici 2016, ses pirates avaient utilisé plus de code que celui utilisé pour exécuter Facebook. La CIA avait en fait créé sa propre «NSA» avec encore moins de responsabilité et sans répondre publiquement à la question de savoir si une telle dépense budgétaire massive pour dupliquer les capacités d'une agence concurrente pourrait être justifiée.Dans une déclaration à WikiLeaks, la source précise les questions de politique qui, selon eux, doivent être débattues en public, y compris si les capacités de piratage de la CIA dépassent ses pouvoirs autorisés et le problème de la surveillance publique de l'agence. La source souhaite initier un débat public sur la sécurité, la création, l'utilisation, la prolifération et le contrôle démocratique des cyber-armes.Une fois qu'une seule «arme» cybertique est «lâche», elle peut se répandre dans le monde en quelques secondes, pour être utilisée par les États rivaux, la mafia cybernétique et les hackers adolescents.Julian Assange, éditeur de WikiLeaks, a déclaré: «Il existe un risque extrême de prolifération dans le développement des« armes »cybernétiques. On peut établir des comparaisons entre la prolifération incontrôlée de ces« armes »qui résulte de l'incapacité de les contenir, La valeur et le commerce mondial des armes, mais l'importance de «l'année zéro» va bien au-delà du choix entre la cyberguerre et la cyberpeace.Wikileaks a soigneusement examiné la divulgation «Année Zéro» et a publié des documents importants de la CIA tout en évitant la distribution de cyber-armes armées jusqu'à ce qu'un consensus se dégage de la nature technique et politique du programme de la CIA et comment ces armes devraient être analysées, désarmées et publiées .Wikileaks a également décidé de rédiger et d'anonymiser certaines informations d'identification dans «Year Zero» pour une analyse approfondie. Ces redactions comprennent dix milliers de cibles CIA et des machines d'attaque en Amérique latine, en Europe et aux États-Unis. Bien que nous soyons conscients des résultats imparfaits de toute approche choisie, nous restons attachés à notre modèle d'édition et notez que la quantité de pages publiées dans "Vault 7" première partie ("Year Zero") éclipse déjà le nombre total de pages publiées Les trois premières années des fuites de la NSA d'Edward Snowden. 
Une analyse:
 Les logiciels malveillants de la CIA visent l'iPhone, Android, les téléviseurs intelligentsLes logiciels malveillants et les outils de piratage informatique de la CIA sont construits par EDG (Engineering Development Group), un groupe de développement de logiciels au sein du CCI (Centre pour la cyberinformation), un département appartenant à la DDI de la CIA. Le DDI est l'une des cinq directions principales de la CIA (voir cet organigramme de la CIA pour plus de détails).Le GED est responsable du développement, de l'essai et du soutien opérationnel de tous les backdoors, exploits, charges utiles malveillantes, chevaux de Troie, virus et tout autre type de malware utilisé par la CIA dans ses opérations secrètes dans le monde entier.La sophistication croissante des techniques de surveillance a établi des comparaisons avec George Orwell 1984, mais «Weeping Angel», développé par la Direction des appareils embarqués (EDB) de la CIA, qui infeste les téléviseurs intelligents et les transforme en microphones cachés, est sans doute la réalisation la plus emblématique.L'attaque contre les téléviseurs intelligents Samsung a été développée en coopération avec le Royaume-Uni MI5 / BTSS. Après l'infestation, Weeping Angel place le téléviseur cible dans un mode «Fake-Off», de sorte que le propriétaire croit faussement que le téléviseur est éteint lorsqu'il est allumé. En mode "Fake-Off", le téléviseur fonctionne comme un bogue, enregistre les conversations dans la salle et les envoie par Internet à un serveur CIA secrète.En octobre 2014, la CIA envisageait également d'infecter les systèmes de contrôle des véhicules utilisés par les voitures et les camions modernes. Le but de ce contrôle n'est pas précisé, mais il permettrait à la CIA de s'engager dans des assassinats presque indétectables.La Direction des appareils mobiles de la CIA (MDB) a développé de nombreuses attaques pour pirater et contrôler à distance les smartphones populaires. Les téléphones infectés peuvent être chargés d'envoyer à la CIA la géolocalisation de l'utilisateur, les communications audio et textuelles, ainsi que d'activer secrètement la caméra et le microphone du téléphone.Malgré la part minoritaire de iPhone (14,5%) du marché mondial des téléphones intelligents en 2016, une unité spécialisée de la Direction du développement mobile de la CIA produit des logiciels malveillants pour infester, contrôler et exfiltrer les données d'iPhones et d'autres produits Apple iOS. L'arsenal de la CIA comprend de nombreux «jours zéro» locaux et éloignés développés par la CIA ou obtenus auprès du GCHQ, de la NSA ou du FBI ou achetés auprès d'entrepreneurs en cybercommerce tels que Baitshop. L'accent disproportionné sur iOS peut s'expliquer par la popularité de l'iPhone parmi les élites sociales, politiques, diplomatiques et commerciales.Une unité similaire cible Android de Google qui est utilisé pour exécuter la majorité des téléphones intelligents du monde (~ 85%), y compris Samsung, HTC et Sony. 1,15 milliard de téléphones Android ont été vendus l'année dernière. "Year Zero" montre qu'à partir de 2016, la CIA avait 24 "armes" Android "zéro jours" qu'il a développé lui-même et obtenu auprès de GCHQ, NSA et les armements de cyber armes.Ces techniques permettent à la CIA de contourner le cryptage de WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman en piratant les téléphones "intelligents" sur lesquels ils fonctionnent et en collectant le trafic audio et de message avant que le cryptage ne soit appliqué.

 
CIA malware cible Windows, OSx, Linux, routeurs

 La CIA exécute également un effort très important pour infecter et contrôler les utilisateurs de Microsoft Windows avec ses logiciels malveillants. Cela comprend de nombreux virus à sauts d'air, tels que "Hammer Drill", qui infecte les logiciels distribués sur CD / DVD, les infectors pour les médias amovibles tels que les USB, les systèmes pour cacher les données dans les images ou dans les zones de disque cachées («Branle Kangaroo») et de maintenir ses infestations de logiciels malveillants.Beaucoup de ces efforts d'infection sont rassemblés par la Direction de l'implantation automatisée de la CIA (AIB), qui a développé plusieurs systèmes d'attaque pour l'infestation automatisée et le contrôle des logiciels malveillants de la CIA, tels que «Assassin» et «Medusa».Les attaques contre l'infrastructure Internet et les serveurs Web sont développées par la Direction des périphériques réseau (NDB) de la CIA.La CIA a mis au point des systèmes automatisés d'attaque et de contrôle des programmes malveillants multiplateformes couvrant les domaines Windows, Mac OS X, Solaris, Linux et autres, comme EDE «HIVE» et les outils «Cutthroat» et «Swindle» qui sont décrits dans les exemples Dessous.

 
Vulnérabilités de la CIA («zéro jour»)Dans le sillage des fuites d'Edward Snowden au sujet de la NSA, l'industrie de la technologie américaine a obtenu un engagement de l'administration Obama que l'exécutif révélerait sur une base continue - plutôt que de stocker - de graves vulnérabilités, exploits, Google, Microsoft et autres fabricants basés aux États-Unis.De graves vulnérabilités ne sont pas divulguées aux fabricants place énormes portions de la population et des infrastructures critiques à risque pour les renseignements étrangers ou les cybercriminels qui découvrent indépendamment ou entendre des rumeurs de la vulnérabilité. Si la CIA peut découvrir de telles vulnérabilités, les autres peuvent en faire autant.L'engagement du gouvernement des États-Unis à l'égard du Processus d'équité en matière de vulnérabilité est venu après un lobbying important de la part des entreprises technologiques américaines qui risquent de perdre leur part du marché mondial par rapport aux vulnérabilités cachées réelles et perçues. Le gouvernement a déclaré qu'il divulguerait toutes les vulnérabilités omniprésentes découvertes après 2010 de façon continue.Les documents «Year Zero» montrent que la CIA a violé les engagements de l'administration Obama. Bon nombre des vulnérabilités utilisées dans l'arsenal cybernétique de la CIA sont omniprésentes et certaines peuvent déjà avoir été trouvées par des agences de renseignement rivales ou des cybercriminels.À titre d'exemple, les logiciels malveillants CIA spécifiques révélés dans «Year Zero» est capable de pénétrer, d'infester et de contrôler à la fois le téléphone Android et iPhone logiciel qui fonctionne ou a couru présidentielle comptes Twitter. La CIA attaque ce logiciel en utilisant des vulnérabilités de sécurité non divulguées («zéro jour») possédées par la CIA, mais si la CIA peut pirater ces téléphones, alors tout le monde peut avoir obtenu ou découvert la vulnérabilité. Tant que la CIA maintient ces vulnérabilités cachées à Apple et Google (qui font les téléphones), ils ne seront pas fixés, et les téléphones resteront hackable.Les mêmes vulnérabilités existent pour la population dans son ensemble, y compris le Cabinet des États-Unis, le Congrès, les principaux PDG, les administrateurs système, les agents de sécurité et les ingénieurs. En cachant ces défauts de sécurité de fabricants comme Apple et Google la CIA s'assure qu'il peut couper tout le monde & mdsh; Au détriment de laisser tout le monde hackable.

 
Les programmes de cyberguerre constituent un grave risque de prolifération

 Les «armes» cyberes ne peuvent pas rester sous contrôle effectif.Alors que la prolifération nucléaire a été freinée par les coûts énormes et l'infrastructure visible nécessaire pour assembler suffisamment de matières fissiles pour produire une masse nucléaire critique, les «armes» cybernétiques, une fois développées, sont très difficiles à retenir.Cyber ​​«armes» sont en fait des programmes informatiques qui peuvent être piratés comme tout autre. Comme ils sont entièrement composés d'informations, ils peuvent être copiés rapidement sans coût marginal.La sécurisation de ces «armes» est particulièrement difficile puisque les mêmes personnes qui les développent et les utilisent ont les compétences nécessaires pour exfiltrer des copies sans laisser de traces - parfois en utilisant les mêmes «armes» contre les organisations qui les contiennent. Il existe des incitations substantielles aux prix pour les pirates du gouvernement et les consultants pour obtenir des copies, car il existe un «marché de la vulnérabilité» mondial qui paiera des centaines de milliers à des millions de dollars pour des copies de ces «armes». De même, les entrepreneurs et les entreprises qui obtiennent de telles «armes» les utilisent parfois à leurs propres fins, obtenant un avantage sur leurs concurrents en vendant des services de «piratage».Au cours des trois dernières années, le secteur du renseignement américain, composé d'agences gouvernementales telles que la CIA et la NSA et leurs entrepreneurs, comme Booz Allan Hamilton, a fait l'objet d'une série sans précédent d'exfiltrations de données par ses propres travailleurs.Un certain nombre de membres de la communauté de renseignement qui n'ont pas encore été nommés publiquement ont été arrêtés ou soumis à des enquêtes criminelles fédérales dans des incidents distincts.Plus visiblement, le 8 février 2017, un grand jury fédéral américain a accusé Harold T. Martin III de 20 chefs d'accusation de mauvaise manipulation d'informations classifiées. Le ministère de la Justice a allégué qu'il avait saisi quelque 50 000 gigaoctets de renseignements provenant de Harold T. Martin III qu'il avait obtenus de programmes classifiés à la NSA et à la CIA, y compris le code source de nombreux outils de piratage informatique.Une fois que le cyber «arme» est «lâche», il peut se répandre dans le monde en quelques secondes, pour être utilisé par les États pairs, la cybermafie et les hackers adolescents.

 
Le consulat des États-Unis à Francfort est une base secrète de pirates informatiques de la CIAEn plus de ses opérations à Langley, en Virginie, la CIA utilise également le consulat des États-Unis à Francfort comme une base secrète pour ses pirates couvrant l'Europe, le Moyen-Orient et l'Afrique.Les pirates de la CIA opérant à partir du consulat de Francfort («Centre pour l'Europe du Cyber ​​Intelligence» ou CCIE) reçoivent des passeports diplomatiques («noirs») et une couverture du Département d'Etat. Les instructions pour les pirates entrants de la CIA font que les efforts de contre-espionnage de l'Allemagne semblent sans conséquence: "Brise à travers les douanes allemandes parce que tu as votre histoire de couverture pour action, et tout ce qu'ils ont fait, c'est marquer ton passeport"Votre histoire de couverture (pour ce voyage)Q: Pourquoi êtes-vous ici?R: Appuyer les consultations techniques au Consulat.Deux publications antérieures de WikiLeaks donnent plus de détails sur les approches de la CIA en matière de douanes et de procédures de dépistage secondaires.Une fois à Francfort, les hackers de la CIA peuvent voyager sans contrôle supplémentaire aux 25 pays européens qui font partie de la zone frontalière ouverte de Shengen - y compris la France, l'Italie et la Suisse.Un certain nombre de méthodes d'attaque électronique de la CIA sont conçues pour la proximité physique. Ces méthodes d'attaque sont capables de pénétrer les réseaux de haute sécurité qui sont déconnectés de l'Internet, comme la base de données de dossiers de police. Dans ces cas, un agent de la CIA, un agent ou un officier du renseignement allié agissant en vertu d'instructions, infiltre physiquement le lieu de travail ciblé. L'attaquant est fourni avec un USB contenant des logiciels malveillants développés pour la CIA à cet effet, qui est inséré dans l'ordinateur ciblé. L'attaquant infecte et exfiltre ensuite les données sur des supports amovibles. Par exemple, le système d'attaque CIA Fine Dining, fournit 24 applications de leurres pour les espions de la CIA à utiliser. Pour les témoins, l'espion semble exécuter un programme montrant des vidéos (par exemple VLC), présenter des diapositives (Prezi), jouer à un jeu d'ordinateur (Breakout2, 2048) ou même exécuter un faux antivirus (Kaspersky, McAfee, Sophos). Mais alors que l'application de leurre est sur l'écran, le système de sous-couche est automatiquement infecté et saccagé.

 
Comment la CIA a considérablement augmenté les risques de prolifération

Dans ce qui est sûrement l'un des objectifs les plus étonnants de la mémoire, la CIA a structuré son système de classification de sorte que pour la partie la plus précieuse du marché de «Vault 7» - les logiciels malveillants de la CIA (implants + zéro jour) LP) et les systèmes de commandement et de contrôle (C2) - l'agence a peu de recours juridique.La CIA a rendu ces systèmes non classés.Pourquoi la CIA a choisi de faire de son cyberarsenal non classé révèle comment les concepts développés pour l'usage militaire ne se croisent pas facilement au «champ de bataille» de la «guerre» cybernétique.Pour attaquer ses cibles, la CIA exige généralement que ses implants communiquent avec leurs programmes de contrôle sur Internet. Si les implants CIA, Command & Control et le logiciel Listening Post ont été classés, les agents de la CIA pourraient être poursuivis ou rejetés pour violation des règles qui interdisent de placer des informations classifiées sur Internet. Par conséquent, la CIA a secrètement fait la plupart de son cyber espionnage / code de guerre non classés. Le gouvernement des États-Unis n'est pas en mesure d'affirmer le droit d'auteur non plus, en raison des restrictions de la Constitution des États-Unis. Cela signifie que les fabricants de «bras» et les pirates informatiques peuvent «pirater» librement ces «armes» s'ils sont obtenus. La CIA a d'abord dû se fier à l'obfuscation pour protéger ses secrets de logiciels malveillants.Des armes classiques telles que des missiles peuvent être tirées sur l'ennemi (c'est-à-dire dans une zone non sécurisée). La proximité ou l'impact avec la cible fait exploser l'artillerie, y compris ses parties classées. Par conséquent, le personnel militaire ne viole pas les règles de classification en tirant des munitions avec des pièces classées. Ordnance va probablement exploser. Si ce n'est pas le cas, ce n'est pas l'intention de l'exploitant.Au cours de la dernière décennie, les opérations de piratage des États-Unis ont été de plus en plus habillées dans le jargon militaire pour exploiter les flux de financement du ministère de la Défense. Par exemple, les tentatives d '«injection de logiciels malveillants» (jargon commercial) ou de «gouttes d'implant» (jargon de la NSA) sont appelées «feux» comme si une arme était tirée. Cependant l'analogie est discutable.Contrairement aux balles, aux bombes ou aux missiles, la plupart des logiciels malveillants de la CIA sont conçus pour vivre pendant des jours voire des années après avoir atteint sa «cible». Les logiciels malveillants de la CIA ne «explosent pas à l'impact» mais infestent en permanence leur cible. Afin d'infecter le périphérique de la cible, des copies du malware doivent être placées sur les dispositifs de la cible, en donnant la possession physique du malware à la cible. Pour exfiltrer les données à la CIA ou attendre d'autres instructions, le logiciel malveillant doit communiquer avec les systèmes CIA Command & Control (C2) placés sur des serveurs connectés à Internet. Mais ces serveurs ne sont généralement pas autorisés à détenir des informations classifiées, de sorte que les systèmes de commandement et de contrôle de l'ICA ne sont pas classifiés.Une «attaque» réussie sur le système informatique d'une cible ressemble davantage à une série de manœuvres de stock complexes dans une offre hostile de prise de contrôle ou à la mise en place soigneuse de rumeurs afin de prendre le contrôle du leadership d'une organisation plutôt que le tir d'un système d'armes. S'il y a une analogie militaire à faire, l'infestation d'une cible est peut-être semblable à l'exécution d'une série de manœuvres militaires contre le territoire de la cible, y compris l'observation, l'infiltration, l'occupation et l'exploitation.

 
Évasion forensique et anti-virusUne série de normes exposent les modèles d'infestation de logiciels malveillants de la CIA qui sont susceptibles d'aider les enquêteurs judiciaires du crime ainsi que Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens et les entreprises anti-virus attribue et défendre contre les attaques.«Les DO et les DON'T de Tradecraft» contiennent des règles de la CIA sur la façon dont les logiciels malveillants devraient être écrits afin d'éviter les empreintes digitales impliquant la «CIA, le gouvernement américain ou ses partenaires partenaires» dans «l'examen médico-légal». Des normes secrètes semblables couvrent l'utilisation du cryptage pour masquer les pirates informatiques et les communications malveillantes de la CIA (pdf), décrivant les cibles et les données exfiltrées (pdf) ainsi que l'exécution des charges utiles (pdf) et la persistance (pdf) des machines de la cible au fil du temps.Les pirates de la CIA ont développé des attaques réussies contre les programmes anti-virus les plus connus. Ceux-ci sont documentés dans les défaites AV, les produits de sécurité personnelle, la détection et la défaite des PSP et PSP / Debugger / RE Avoidance. Par exemple, Comodo a été vaincu par les logiciels malveillants de la CIA se plaçant dans la «Corbeille» de la fenêtre. Alors que Comodo 6.x a un "trou de Gaping de DOOM".Les pirates informatiques de la CIA ont discuté de ce que les pirates de la NSA «Equation Group» ont fait de mal et comment les fabricants de logiciels malveillants de la CIA pouvaient éviter une exposition similaire.

 
Exemples

 Le système de gestion du Groupe de développement de l'ingénierie (GED) de la CIA contient environ 500 projets différents (dont certains sont documentés par «Année Zéro»), chacun avec ses propres sous-projets, les logiciels malveillants et les outils pirates.La majorité de ces projets concernent des outils utilisés pour la pénétration, l'infestation («implantation»), le contrôle et l'exfiltration.Une autre branche du développement se concentre sur le développement et le fonctionnement des systèmes d'écoute (LP) et de commande et de contrôle (C2) utilisés pour communiquer avec et contrôler les implants CIA; Des projets spéciaux sont utilisés pour cibler le matériel spécifique des routeurs aux téléviseurs intelligents.Quelques exemples de projets sont décrits ci-dessous, mais voir la table des matières pour la liste complète des projets décrits par WikiLeaks «Year Zero».

 
OMBRAGELes techniques de piratage à la main de la CIA posent un problème à l'agence. Chaque technique qu'il a créée forme une «empreinte digitale» qui peut être utilisée par les enquêteurs légistes pour attribuer plusieurs attaques différentes à la même entité.Ceci est analogue à la découverte de la même blessure de couteau distinctif sur plusieurs victimes de meurtre distinctes. Le style blessing unique suscite la suspicion qu'un seul meurtrier est responsable. Dès qu'un assassinat dans l'ensemble est résolu alors les autres meurtres trouvent également l'attribution probable.Le groupe UMBRAGE de la Direction des appareils à distance de la CIA recueille et gère une importante bibliothèque de techniques d'attaque «volées» contre les logiciels malveillants produits dans d'autres États, dont la Fédération de Russie.Avec l'UMBRAGE et les projets connexes, la CIA peut non seulement augmenter son nombre total de types d'attaque, mais aussi distraire l'attribution en laissant derrière elle les «empreintes digitales» des groupes dont les techniques d'attaque ont été volées.Les composants UMBRAGE couvrent les keyloggers, la collecte de mots de passe, la capture de webcam, la destruction des données, la persistance, l'escalade des privilèges, l'évitement de la furtivité, l'anti-virus (PSP) et les techniques d'enquête.

 
RestaurationFine Dining est livré avec un questionnaire standardisé, c'est-à-dire le menu que les agents de la CIA remplir. Le questionnaire est utilisé par le Bureau de soutien opérationnel (OSB) de l'agence pour transformer les demandes des agents de cas en exigences techniques pour les attaques de piratage (généralement «exfiltrer» des informations provenant de systèmes informatiques) pour des opérations spécifiques. Le questionnaire permet au BSF d'identifier comment adapter les outils existants pour l'opération et de les communiquer au personnel de configuration des programmes malveillants de la CIA. Le BSF sert d'interface entre le personnel opérationnel de l'ICA et le personnel de soutien technique pertinent.Parmi la liste des cibles possibles de la collection figurent «Actif», «Actif de liaison», «Administrateur de système», «Opérations d'information étrangère», «Agences de renseignement étrangères» et «Entités gouvernementales étrangères». Il est notamment absent de mentionner les extrémistes ou les criminels transnationaux. L'agent de cas est également invité à spécifier l'environnement de la cible comme le type d'ordinateur, le système d'exploitation utilisé, la connectivité Internet et les utilitaires antivirus installés (PSP), ainsi qu'une liste de types de fichiers à exfiltrer comme des documents Office , Audio, vidéo, images ou types de fichiers personnalisés. Le «menu» demande également des informations si un accès récurrent à la cible est possible et combien de temps l'accès non observé à l'ordinateur peut être maintenu. Ces informations sont utilisées par le logiciel 'JQJIMPROVISE' de la CIA (voir ci-dessous) pour configurer un ensemble de logiciels malveillants CIA adaptés aux besoins spécifiques d'une opération.

 
Improviser (JQJIMPROVISE)

 'Improvise' est un ensemble d'outils pour la configuration, le post-traitement, la configuration de la charge utile et la sélection des vecteurs d'exécution pour les outils d'enquête et d'exfiltration supportant tous les principaux systèmes d'exploitation comme Windows (Bartender), MacOS (JukeBox) et Linux (DanceFloor). Ses utilitaires de configuration tels que Margarita permettent au NOC (Network Operation Center) de personnaliser les outils en fonction des exigences des questions «Fine Dining».

 
RUCHEHIVE est une suite malware multi-plate-forme de la CIA et son logiciel de contrôle associé. Le projet fournit des implants personnalisables pour Windows, Solaris, MikroTik (utilisé dans les routeurs Internet) et les plates-formes Linux et une infrastructure Listening Post (LP) / Command and Control (C2) pour communiquer avec ces implants.Les implants sont configurés pour communiquer via HTTPS avec le serveur web d'un domaine de couverture; Chaque opération utilisant ces implants a un domaine de couverture séparé et l'infrastructure peut gérer n'importe quel nombre de domaines de couverture.Chaque domaine de couverture se résout à une adresse IP qui se trouve à un fournisseur commercial VPS (Virtual Private Server). Le serveur public redirige tout le trafic entrant via un VPN vers un serveur Blot qui gère les demandes de connexion réelles des clients. Il est configuré pour l'authentification facultative client SSL: si un client envoie un certificat client valide (seuls les implants peuvent le faire), la connexion est transmise au serveur d'outils 'Honeycomb' qui communique avec l'implant; Si un certificat valide est manquant (ce qui est le cas si quelqu'un essaie d'ouvrir le site Web de domaine de couverture par accident), le trafic est transmis à un serveur de couverture qui fournit un site Web sans prétention.Le serveur d'outils Honeycomb reçoit des informations exfiltrées de l'implant; Un opérateur peut également charger l'implant d'exécuter des tâches sur l'ordinateur cible, de sorte que le serveur d'outils agit en tant que serveur C2 (commande et contrôle) pour l'implant.Une fonctionnalité similaire (bien que limitée à Windows) est fournie par le projet RickBobby.Consultez les guides d'utilisateur et de développeur classifiés pour HIVE.

 
Questions fréquemment posées

 
Pourquoi maintenant?WikiLeaks a publié dès que sa vérification et analyse étaient prêtes.En février, l'administration Trump a émis un décret ordonnant la préparation d'un examen «Cyberwar» dans les 30 jours.Bien que l'examen augmente l'actualité et la pertinence de la publication, il n'a pas joué un rôle dans la fixation de la date de publication.

 
RedactionsLes noms, adresses de courrier électronique et adresses IP externes ont été effacés dans les pages publiées (70,875 redactions au total) jusqu'à ce que l'analyse soit terminée.

    
Sur-rédaction: Certains éléments peuvent avoir été expurgés qui ne sont pas des employés, des entrepreneurs, des cibles ou autrement liés à l'agence, mais sont par exemple des auteurs de documents pour des projets autrement publics utilisés par l'agence.
    
Identité vs personne: les noms redigés sont remplacés par des ID utilisateur (numéros) pour permettre aux lecteurs d'attribuer plusieurs pages à un seul auteur. Étant donné le processus de rédaction utilisé, une seule personne peut être représentée par plus d'un identificateur affecté, mais aucun identifiant ne fait référence à plus d'une personne réelle.
    
Les pièces jointes archivées (zip, tar.gz, ...) sont remplacées par une liste PDF répertoriant tous les noms de fichier dans l'archive. À mesure que le contenu de l'archive est évalué, il peut être mis à disposition; Jusqu'à ce que l'archive soit expurgée.
    
Les pièces jointes avec d'autres contenus binaires sont remplacées par un vidage hexadécimal du contenu pour empêcher l'invocation accidentelle de fichiers binaires susceptibles d'avoir été infectés par des logiciels malveillants CIA. Comme le contenu est évalué, il peut être mis à disposition; Jusqu'à ce que le contenu soit expurgé.
    
Les dizaines de milliers de références d'adresses IP routables (dont plus de 22 000 aux États-Unis) qui correspondent à des cibles possibles, des serveurs d'écoute secrètes de l'ICA, des systèmes intermédiaires et des systèmes de test, sont expurgées pour une enquête exclusive supplémentaire.
    
Les fichiers binaires d'origine non publique sont uniquement disponibles en tant que décharges pour empêcher l'invocation accidentelle des binaires infectés par les logiciels malveillants de la CIA.

 
Organigramme

 L'organigramme correspond au matériel publié par WikiLeaks à ce jour.Étant donné que la structure organisationnelle de la CIA au-dessous du niveau des directions n'est pas publique, le placement de l'EDG et de ses branches dans l'organigramme de l'agence est reconstruit à partir des informations contenues dans les documents publiés jusqu'à présent. Il est destiné à être utilisé comme un schéma approximatif de l'organisation interne; Veuillez noter que l'organigramme reconstitué est incomplet et que des réorganisations internes sont fréquentes.

 
Pages Wiki«Year Zero» contient 7818 pages Web avec 943 pièces jointes du groupware de développement interne. Le logiciel utilisé à cet effet est appelé Confluence, un logiciel propriétaire d'Atlassian. Pages Web dans ce système (comme dans Wikipedia) ont un historique de version qui peut fournir des aperçus intéressants sur la façon dont un document a évolué au fil du temps; Les 7818 documents incluent ces historiques de page pour 1136 dernières versions.L'ordre des pages nommées à l'intérieur de chaque niveau est déterminé par la date (la plus ancienne en premier). Le contenu de la page n'est pas présent s'il a été initialement créé dynamiquement par le logiciel Confluence (comme indiqué sur la page reconstruit).

 
Quelle période est couverte?Les années 2013 à 2016. L'ordre de tri des pages au sein de chaque niveau est déterminé par la date (la plus ancienne en premier).WikiLeaks a obtenu la date de création / dernière modification de la CIA pour chaque page, mais celles-ci n'apparaissent pas encore pour des raisons techniques. Habituellement, la date peut être discernée ou approchée du contenu et de l'ordre des pages. S'il est essentiel de connaître l'heure exacte, contactez WikiLeaks.

 
Qu'est-ce que "Vault 7"«Vault 7» est une importante collection de documents sur les activités de la CIA obtenues par WikiLeaks.

 
Quand a-t-on obtenu chaque partie de la «Voûte 7»?La première partie a été obtenue récemment et couvre jusqu'en 2016. Des détails sur les autres parties seront disponibles au moment de la publication.

 
Est-ce que chaque partie de "Vault 7" provient d'une source différente?Les détails sur les autres parties seront disponibles au moment de la publication.

 
Quelle est la taille totale de "Vault 7"?La série est la plus grande publication de renseignement de l'histoire.

 
Comment WikiLeaks at-il obtenu chaque partie de "Vault 7"?Les sources font en sorte que WikiLeaks ne révèle pas d'informations susceptibles de les identifier.


 WikiLeaks n'est-il pas inquiet que la CIA agisse contre son personnel pour arrêter la série?

Non. Ce serait certainement contre-productif.


WikiLeaks a-t-il déjà «extrait» toutes les meilleures histoires?

Non. WikiLeaks a intentionnellement pas écrit des centaines d'histoires d'impact pour encourager les autres à les trouver et ainsi créer une expertise dans la région pour les parties suivantes de la série. Ils sont là. Regardez. Ceux qui démontrent l'excellence journalistique peuvent être considérés pour l'accès précoce aux parties futures.


Les autres journalistes ne trouveront-ils pas toutes les meilleures histoires devant moi?

Improbable. Il y a beaucoup plus d'histoires que de journalistes ou d'universitaires qui sont en mesure de les écrire.

 Nota : peut contenir un virus !

Et les pages web qui relient a ce backdoor:

C:\Users\CIA-Vault7---year0\vault7\cms\page_13762803.html    exp.cve.20152548.1 
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762807.html    exp.cve.20152548.1
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762809.html    exp.cve.20152548.1  
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762811.html    exp.cve.20152548.1 
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762814.html    exp.cve.20152548.1  
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762818.html    exp.cve.20152548.1




Voici les notes de Marc Maiffret:

Je voulais noter quelques éléments afin que les chercheurs en logiciels malveillants puissent suivre. N'hésitez pas à m'envoyer des corrections et des ajouts à Marc au nom de ce site. Les mises à jour de Twitter se produisent ici: https://twitter.com/marcmaiffretHttps://wikileaks.org/ciav7p1/cms/page_41123853.htmlWikileaks a décidé de refaire tous les fichiers binaires qui faisaient partie de la fuite de la CIA. Il semble qu'il y ait deux binaires cependant qu'ils ont décidé de ne pas refaire ou simplement commettre une erreur.Le premier est win32-srv8.zabbix-tech.com.exe qui a tout simplement été laissé pour téléchargement. Https://wikileaks.org/ciav7p1/cms/page_34308128.html Cela a été référencé dans quelques endroits en ligne et je suis analysé par quelqu'un quelque part.Celui dont je voulais faire une remarque rapide concernait JQJSNICKER (https://wikileaks.org/ciav7p1/cms/page_41123853.html). Wikileaks a redaculé tous les binaires sur cette page en les remplaçant par un PDF qui mentionne que les fichiers sont encore en cours d'examen.Ils ont néanmoins autorisé le téléchargement du fichier installateur.reg. Il s'agit d'un fichier clé du Registre Windows qui, lorsqu'il est importé sur un système, créera une tâche planifiée dans Windows. Après avoir nettoyé le fichier .reg en remplaçant # caractères par rien, vous aurez une valeur de clé. La variable de données et à l'intérieur d'elle est un exécutable DLL encodé base64.Cela décode un dll nommé installer.dll. Il s'agit d'une application .NET que vous pouvez décompiler dans n'importe quel décompilateur .NET tel que Jetbrains dotPeek. Les auteurs ont essayé pour une nuisance légère de code de .NET en utilisant le SmartAssembly d'obfuscator .NET de Redgate.Le fichier Installer.dll possède des fonctionnalités intéressantes, y compris le lancement d'une commande PowerShell avec executionPolicy sans restriction.Ce qui est plus intéressant, c'est une autre DLL .NET codée dans la section ressources de Installer.dll. Ceci est également codé en Base64 et décode sur un fichier Core.dll.Core.dll semble être une commande et un contrôle, ou plus, un programme de commande et d'exécution. Il convient de noter qu'il existe des caractéristiques de ce programme qui correspondent aux recommandations de conception d'implant documentées dans les fuites Vault7.Un aspect remarquable de Core.dll est une URL référencée sur le site notepad.cc.Notepad.cc était un site Web public comme pastebin où les gens pouvaient publier anonymement du contenu pour ensuite être référencé via des URL statiques. Je publie ce rapide, il faut plus de temps pour enquêter exactement sur la façon dont ces URL sont exploitées. Il convient de noter que le développeur de Notepad.cc a fermé le site Web en décembre 2015.Un autre aspect du mécanisme de rappel est qu'il semble avoir une erreur de frappe dans l'en-tête de l'agent utilisateur qui pourrait être utilisé dans la perspective de signature.La variable UserAgent manque la fermeture). Il est également intéressant de noter qu'ils ont utilisé une chaîne d'agent utilisateur de périphérique tactile comme indiqué par Touch à la fin. Il est possible qu'ils copient et collent de l'écran tactile des ordinateurs portables Dell dans leurs laboratoires? : -oIl y a plus dans ces binaires, mais je voulais obtenir quelque chose rapidement, de sorte que les ingénieurs inversés en cas de malveillance à temps plein beaucoup mieux peuvent regarder.Enfin, il convient de noter que lorsque j'ai téléchargé ces deux binaires sur Virus Total, la détection était 2/59 pour Installer.dll et 1/60 pour Core.dll.Ce qui est intéressant, c'est que Kaspersky était l'un des seuls lecteurs à détecter jusqu'ici. Cela est logique, car je crois comprendre que Kaspersky possède un rapport interne sur ce logiciel malveillant dans lequel ils signalent cette erreur binaire Wikileaks possible que je documentais ici. Je ne suis pas certain qu'ils ont rendu ce public mais n'ont rien vu sur leur blog au moment de l'écriture. Notez la raison pour laquelle ZoneAlarm détecte que c'est aussi parce qu'ils autorisent le moteur de Kaspersky. Il est également intéressant de noter que Kaspersky, au moment de l'écriture, ne détectait pas Core.dll (intégré dans Installer.dll). Je ne sais pas si c'est parce qu'ils n'ont pas vu que dans leur analyse ou les mises à jour de signature n'avaient tout simplement pas frappé Virus Total pour l'instant.

Le code comporte des mécanismes pour se nettoyer à partir d'un système. Il existe cependant des artefacts qui pourraient être laissés en cas d'accident et / ou sur un système qui n'a jamais été nettoyé. L'un de ces exemples est une clé de registre qui semble unique à ce logiciel malveillant:

    
SOFTWARE \ Microsoft \ DRM \ {cd704ff3-cd05-479e-acf7-6474908031dd}





Source.:

Aucun commentaire: