A Arte da Omissao

WikiLeaks: Vault 7 – analise

Analise

iPhone, Android, smart TVs, alvos dos malwares da CIA

Malwares e ferramentas de hacking da CIA são criadas pelo EDG (Engineering Development Group), grupo de desenvolvimento de software dentro do CCI (Centro de Inteligência Cibernética), departamento pertencente à DDI da CIA (Direcção de Inovação Digital). A DDI é uma das cinco principais direcções da CIA (veja este organograma da CIA para mais detalhes).

O EDG é responsável pelo desenvolvimento, teste e suporte operacional de todos os backdoors, exploits, payloads maliciosos, cavalos de tróia, vírus e qualquer outro tipo de malware usado pela CIA nas suas operações secretas por todo o mundo.

A crescente sofisticação das técnicas de hacking desenhou comparações com o livro 1984 de George Orwell, mas o programa “Weeping Angel“, desenvolvido pela Embedded Devices Branch (EDB) da CIA, que lhe permite aceder às televisões inteligentes SAMSUNG  e as transforma em microfones encobertos, é certamente a sua realização mais emblemática.

O ataque contra as televisões inteligentes da Samsung foi desenvolvido em cooperação com o MI5 / BTSS do Reino Unido. Após a infecção pelo malware da CIA, o Weeping Angel coloca a televisão no modo “Fake-Off”. O proprietário acredita falsamente que ela está desligada quando na realidade está ligada. No modo “Fake-Off”, a televisão funciona como um bug, grava conversas que estejam a acorrer na sala e envia-as através da Internet para um servidor secreto da CIA.

A partir de Outubro de 2014, a CIA também procurava infectar os sistemas de controlo de veículos usados nos camiões e carros modernos. A finalidade de tal controle não é especificada, mas permitiria que a CIA se envolvesse em assassinatos quase indetectáveis.

O Departamento dos Dispositivos Móveis da CIA (MDB) desenvolveu inúmeros ataques para remotamente piratear e controlar telefones inteligentes populares. Os telefones infectados podem ser instruídos a enviar à CIA a geolocalização do utilizador, comunicações de áudio e de texto, bem como activar secretamente a câmara e o microfone do telefone.

Apesar da participação minoritária do iPhone (14,5%) no mercado mundial dos telefones inteligentes em 2016, uma unidade especializada no Departamento de Desenvolvimento Móvel da CIA produz malwares para infestar, controlar e extrair dados sem autorização de iPhones e outros produtos Apple que correm o iOS, como os iPads. O arsenal da CIA inclui inúmeros ataques “zero dias” locais e remotos (termo dado às falhas de segurança de dispostivos que são desconhecidas pelos seus fabricantes-Ndt), desenvolvidos pela CIA, ou obtidos do GCHQ, NSA, FBI ou comprados a fabricantes de armas cibernéticas como a Baitshop. O foco desproporcional no iOS pode ser explicado pela popularidade do iPhone entre as elites sociais, políticas, diplomáticas e empresariais.

Uma unidade similar tem como alvo o Android da Goggle, usado na maioria dos telefones inteligentes do mundo (~ 85%), incluindo Samsung, HTC e Sony. Só no ano passado foram vendidos 1,15 biliões de telefones Android. O “Ano Zero” mostra que, a partir de 2016, a CIA tinha  24 ataques “Dia Zero” para Android, desenvolvidos pela agência ou obtidos do GCHQ, NSA e empreiteiros de armas cibernéticas.

Essas técnicas permitem que a CIA contorne a criptografia do WhatsApp, Signal, Telegram, Wiebo, Confide e Cloackman, invadam os telefones “inteligentes” onde esses programas correm, e recolham o tráfego áudio e de mensagens antes da criptografia ser aplicada.

Windows, OSx, Linux, alvos dos malwares da CIA

A CIA também se esforça bastante em infectar e controlar os utilizadores do Microsoft Windows com o seu malware. Tal inclui vários “zero dias” “armados” locais ou remotos, vírus air-gap (malware que pode ser projectado para a comunicação de informações seguras acusticamente, em frequências próximas ou além do limite de audiência humana. A técnica é limitada a dispositivos dentro de uma limitada proximidade física (cerca de 20 metros), e pela exigência de que tanto as máquinas de transmissão e de recepção estejam infectadas com o malware adequado para gerar o link de comunicação. Esta técnica incide em equipamentos que estão dentro de rede seguras, redes sem ligação à internet-Ndt), como “Hammer Drill” que infecta software distribuído em CD /DVDs, vírus para dispositivos amovíveis como USBs, sistemas para ocultar dados em imagens ou em áreas secretas do disco (“Brutal Kangaroo)“) e para manterem as suas infecções pelo malware.

Muitos destes esforços para infectar são reunidos pela AIB (Automated Implant Branch) da CIA, que desenvolveu vários sistemas de ataque para a infecção automatizada e controlo do malware da CIA, como os “Assassin” e “Medusa”.

Os ataques contra a infra-estruturas da Internet e servidores web são desenvolvidos pela Network Devices Branch (NDB) da CIA.

A CIA desenvolveu ataques automáticos com o seu malware e controlo de sistemas para várias plataformas, Windows, Mac OS X, Solaris, Linux e outros, como o EDB da “HIVE”  e as ferramentas relacionadas “Cutthroat” e “Swindle”, descritas nos exemplos

Vulnerabilidades “acumuladas” da CIA (“zero dias”)

No seguimento das denúncias vindas a público com Edward Snowden sobre a NSA, a indústria tecnológica dos EUA tinha recebido da administração Obama o compromisso de que o executivo divulgaria de forma contínua as vulnerabilidades sérias,  bugs ou “zero dias” à Apple, Google, Microsoft e outros fabricantes com sede nos EUA.

Quando vulnerabilidades sérias de dispositivos não são reveladas aos respectivos fabricantes, ficam em risco enormes faixas da população e infra-estruturas, pois ficam disponíveis à inteligência estrangeira ou a ciber criminosos,  que as descobrem ou ouvem rumores da sua existência. Se a CIA pode descobrir tais vulnerabilidades, outros também o podem fazer.

O compromisso do governo dos EUA com o Vulnerabilities Equities Process veio após o lobbing significativo por parte de empresas tecnológicas dos EUA, que correm o risco de perder as suas participações no mercado global. O governo declarou que divulgaria todas as vulnerabilidades descobertas depois de  2010.

Os documentos do “Year Zero” mostram que a CIA violou os compromissos com o governo Obama. Muitas das vulnerabilidades usadas no arsenal cibernético da CIA foram difundidas e algumas podem já ter sido encontradas por agências de inteligência rivais ou criminosos cibernéticos.

Por exemplo, um malware específico da CIA revelado no “Year Zero” é capaz de penetrar, infestar e controlar tanto os telefones Android e software iPhone que estejam / estiveram em execução  nas contas presidenciais do Twitter. A CIA ataca este software usando vulnerabilidades de segurança não reveladas (“zero days”) que estão na sua mão, mas se a CIA pode violar esses telefones, também todos os que possam ter obtido ou descoberto a vulnerabilidade o podem fazer. Enquanto a CIA mantiver essas vulnerabilidades ocultas da Apple e da Google (que fabricam esses telefones), elas não serão corrigidas e os telefones permanecerão violáveis.

As mesmas vulnerabilidades existem para a população em geral, incluindo o Gabinete dos EUA, o Congresso, CEOs, administradores de sistemas, oficiais de segurança e engenheiros. A CIA ao ocultar essas falhas de segurança dos fabricantes como Apple e Google, garante que pode violar todo mundo; à custa de deixar todos passíveis de serem violados.

Os programas da “Cyberwar” constituem um grave risco de proliferação

As “armas” cibernéticas não são possíveis de manter sob um controlo efectivo.

Enquanto a proliferação nuclear tem sido reprimida pelos custos enormes e pelas visíveis infra-estruturas envolvidos na montagem de material suficiente cindível para produzir uma massa nuclear crítica, as “armas” cibernéticas, uma vez desenvolvidas, são muito difíceis de manter.

As “armas” cibernéticas são de facto apenas programas de computador que podem ser pirateados como qualquer outro. Uma vez que são inteiramente composto de informações, podem ser copiados rapidamente, sem custo marginal.

Proteger tais  “armas” é particularmente difícil, uma vez que as mesmas pessoas que as desenvolvem e utilizam, têm a capacidade de extrair ilegalmente cópias sem deixarem vestígios – às vezes com o uso das mesmas “armas” contra as organizações que as contêm. Existem incentivos financeiros substanciais para hackers do governo e consultores  obterem cópias, uma vez que existe um “mercado de vulnerabilidade” global que pagará centenas de milhares a milhões de dólares pelas cópias de tais “armas”. Do mesmo modo, os empreiteiros e as empresas que obtêm essas “armas”, por vezes usam-nas para os seus próprios propósitos, obtendo assim vantagem sobre os seus concorrentes, na venda de serviços de “hacking“.

Nos últimos três anos, o sector de inteligência dos Estados Unidos, formado por agências governamentais como a CIA, NSA e os seus contratados, como Booz Allan Hamilton, foi submetido a uma série sem precedentes de extracção não autorizada de dados  levada a cabo pelos seus próprios empregados.

Vários membros da comunidade de inteligência que ainda não foram nomeados publicamente foram presos ou sujeitos a investigações criminais federais em incidentes.

Mais visivelmente, a 8 de Fevereiro de 2017, um grande júri federal norte-americano acusou Harold T. Martin III com 20 acusações por utilização incorrecta de informação classificada. O departamento de justiça alegou que apreendeu aproximadamente 50.000 gigabytes de informação de Harold T. Martin III, que a obteve de programas confidenciais da NSA e CIA, incluindo o código de fonte de várias ferramentas de “hacking”.

Quando se  ‘perde’ uma ‘arma’ cibernética, ela pode espalhar-se pelo mundo em segundos, ser usada por estados pares, máfia cibernética e hackers adolescentes.

O Consulado dos EUA em Frankfurt é uma base secreta de hackers da CIA

Além das suas operações em Langley, Virgínia, a CIA também usa o consulado dos EUA em Frankfurt como uma base secreta para os seus hackers cobrirem a Europa, Médio Oriente e África.

Os hackers da CIA que operam fora do consulado de Frankfurt (“Center para Cyber Intelligence Europe” ou CCIE) recebem passaportes diplomáticos (“negros”) e a cobertura do Departamento de Estado. As instruções para novos hackers da CIA fazem com que os esforços da contra-inteligência da Alemanha parecem inconsequentes.

Duas publicações anteriores do WikiLeaks fornecem mais detalhes sobre as abordagens da CIA aos procedimentos aduaneiros e procedimentos de triagem secundária. Uma vez em Frankfurt, os hackers da CIA podem viajar sem mais verificações pelas fronteiras dos 25 países europeus que fazem parte da área de fronteira aberta de Shengen – incluindo a França, a Itália e Suíça.

Uma série de métodos de ataques electrónicos da CIA são projectados para proximidade física. Estes métodos de ataque são capazes de penetrar em redes de alta segurança que estão desconectadas da internet, como a base de dados de registo da polícia. Nesses casos, o oficial da CIA, agente ou agente de inteligência aliado agindo sob instruções, infiltra-se fisicamente no local de trabalho alvo.

O atacante tem um dispositivo USB que contem o malware desenvolvido pela CIA para esse fim, e insere-o no computador alvo. O atacante  infecta e extrai os dados para a média amovível.

Por exemplo, o sistema de ataque da CIA, Fine Dining, contem 24 aplicações isca para os espiões da CIA usarem. Para quem está por perto a assistir, o espião parece estar a executar um programa que mostra vídeos (por exemplo o VLC), ou apresenta slides (Prezi), a jogar um jogo de computador (Breakout2, 2048) ou mesmo a executar um scanner falso de vírus (Kaspersky, McAfee, Sophos). Mas enquanto o aplicação isca está visível no monitor, o sistema subjacente é automaticamente infectado e saqueado.

Como a CIA aumentou dramaticamente os riscos da proliferação

No que é certamente um dos mais espantosos objectivos de inteligência na memória viva, a CIA estruturou o seu regime de classificação de modo que para a parte mais valiosa do mercado do “Vault 7” – o malware armado da CIA (implantes + zero dias) postos de escuta (LP) e sistemas de comando e controlo (C2) – a agência tem pouco recurso legal. A CIA desclassificou esses sistemas.

O facto da CIA ter optado por desclassificar o seu arsenal cibernético revela como os conceitos desenvolvidos para uso militar não se cruzam facilmente com o “campo de batalha” da “guerra” cibernética.

Para atacar os seus alvos, a CIA normalmente requer que os seus implantes comuniquem com os seus programas de controlo através da internet. Se os implantes CIA, os programas Command & Control e Listening Post fossem confidenciais, os funcionários da CIA poderiam ser processados ou demitidos por violarem as regras que proíbem a colocação de informação confidencial na Internet. Consequentemente, a CIA fez secretamente a maior parte da sua ciberespionagem / código de guerra não confidencial.

O governo dos EUA também não é capaz de fazer valer direitos de autor, devido a restrições na Constituição dos EUA. Isso significa que os fabricantes de “armas” cibernéticas e hackers de computadores podem livremente “piratear” essas “armas” se as obterem. A CIA teve principalmente de confiar na ofuscação para proteger os segredos do seu malware.

Armas convencionais tais como os mísseis podem ser disparadas contra o inimigo (isto é, para áreas não seguras). A proximidade a ou impacto com o alvo detona o arsenal incluindo os seus componentes confidenciais. Desta forma, os militares não violam as regras da confidencialidade ao dispararem munições com componentes confidenciais.

Durante a última década, as operações de hacking dos EUA foram cada vez mais “vestidas” com gíria militar para explorarem os fluxos de financiamento do Departamento de Defesa. Por exemplo, a tentativa de “injecções de malware” (gíria comercial) ou “implante de gotas” (gíria da NSA) estão a ser chamados de “disparos” como se tratasse de um disparo de uma arma. No entanto, a analogia é questionável.

Ao contrário das balas, bombas ou mísseis, a maioria dos malwares da CIA são projectados para viverem dias ou até anos depois de terem atingido os seus “alvos”. Eles  não “explodem no impacto”, mas infestam permanentemente os seus alvos. Para infectar o dispositivo alvo, têm de ser colocadas cópias do malware nos dispositivos do alvo, dando-lhes a posse física. Para extrair os dados para a CIA ou aguardar instruções adicionais, o malware tem de comunicar com os sistemas Command & Control (C2) da CIA colocados em servidores ligados à Internet. Mas esses servidores normalmente não são aprovados para armazenarem informações confidenciais, de modo que os sistemas de comando e controle da CIA (C2) também são não confidenciais.

Um “ataque” bem-sucedido no sistema informático alvo, é como uma série de manobras de acções complexas numa oferta hostil de aquisição ou na planificação cuidadosa de rumores de forma a ganhar o controle da liderança de uma organização, em vez de resultar de um disparo de um sistema armado. Se há uma analogia militar a ser feita, a infecção de um alvo é talvez semelhante à execução de uma série de manobras militares contra o território do alvo, incluindo observação, infiltração, ocupação e exploração.

Evasão forense e antivírus

Uma série de normas estabelecem os padrões da infecção com o malware da CIA, as quais são susceptíveis de auxiliar os investigadores de cena de crimes forenses, assim como a Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens e empresas de antivírus.

Tradecraft DO’s and DON’Tscontém regras da CIA sobre como o seu malware deve ser escrito para não deixar impressões digitais que impliquem a “CIA, governo dos EUA, ou as suas conscientes empresas parceiras” em “revisão forense”. Padrões secretos semelhantes protegem o uso da criptografia para ocultar a comunicação entre o hacker da CIA e o malware (pdf), descrevendo destinos e dados extraídos (pdf), bem como a execução das cargas de transmissão (pdf) nas máquinas alvo ao longo do tempo.

Os hackers da CIA desenvolveram ataques bem-sucedidos contra os programas de antivírus mais conhecidos. Estes são documentados em AV defeats, Personal Security Products, Detecting and defeating PSPs e PSP/Debugger/RE Avoidance. Por exemplo, o Comodo foi derrotado pelo malware da CIA e colocou-se na “Lixeira” do Windows. Enquanto Comodo 6.x tem um “Gaping Hole of DOOM “.

Os hackers da CIA discutiram o que os hackers doEquation Groupda NSA fizeram errado e como os fabricantes do malware da CIA poderiam evitar uma exposição semelhante.

fonte

Nota: realces e links desta cor são da minha responsabilidade

 

 Vault 7 – Comunicado de imprensa

Vault 7 – analise

Vault 7 – Dark Matter

Vault 7 – Marble

Vault 7 – Grasshopper

Advertisements

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

Information

This entry was posted on 17 de Março de 2017 by in cia, espionagem, USA, Vigilância and tagged , , , .

Navegação

Categorias

Faça perguntas aos membros do Parlamento Europeu sobre o acordo de comércio livre, planeado entre a UE e o Canadá (CETA). Vamos remover o secretismo em relação ao CETA e trazer a discussão para a esfera pública!

%d bloggers like this: