A Arte da Omissao

ACORDEM

WikiLeaks: Vault 7 – Grasshopper

Nota: realces desta cor e  links dentro de «» são da minha responsabilidade

7 de Abril de 2017

Hoje, 7 de Abril de 2017, o WikiLeaks lança o “Grasshopper” do Vault 7 com 27 documentos da framework Grasshopper da CIA, plataforma usada para construir cargas personalizadas de malwares para sistemas operacionais Microsoft Windows.

Grasshopper é fornecido com uma variedade de módulos que podem ser usados por operadores da CIA como blocos para construir um implante personalizado que se comportará de forma diferente, por exemplo mantendo-se persistente no computador de forma diferente, dependendo dos recursos ou capacidades seleccionados no processo de construção do pacote.

Além disso, fornece uma linguagem muito flexível para definir regras a usar para “fazer um levantamento do dispositivo de destino antes da instalação, assegurando que a carga só será instalada se o alvo tiver a configuração correcta”.

Através desta gramática, os operadores da CIA são capazes de construir código muito simples ou  muito complexo, usado para determinar, por exemplo, se o dispositivo de destino está a executar uma versão específica do Microsoft Windows ou se um determinado antivírus está em execução ou não.

O Grasshopper permite a instalação de ferramentas recorrendo ao uso de uma variedade de mecanismos de persistência e modificados, usando uma variedade de extensões (como encriptação).

A lista dos requisitos do Automated Implant Branch (AIB) para o Grasshopper põe especial atenção em evitar os PSP, de modo que qualquer Produto de Segurança Pessoal como ‘MS Security Essentials‘, ‘Rising‘, ‘Symantec Endpoint‘ ou ‘Kaspersky IS‘ na máquina alvo não detecte os elementos do Grasshopper.

Um dos mecanismos de persistência usados aqui pela CIA é o “Stolen Goods” – cujos “componentes foram retirados do malware conhecido como Carberp, um rootkit suspeito de crime organizado russo”, confirmando a reciclagem do malware encontrado na Internet pela CIA. “A fonte do Carberp foi publicada online, e permitiu que AED / RDB facilmente roubasse seus componentes quando necessários para o malware da CIA”.

Embora a CIA alegue que ” [a maioria] do Carberp não foi usada no “Stolen Goods “, reconhecem que “o método de persistência e partes do instalador foram tomadas e modificadas para atender às nossas necessidades”, fornecendo um outro exemplo de reutilização de porções do malware disponível publicamente pela CIA, como observado na sua análise do material vazado da empresa italiana “HackingTeam“.

Os documentos que o WikiLeaks publica hoje fornecem visões do processo da construção de ferramentas modernas de espionagem e como a CIA mantém a persistência em computadores infectados com Microsoft Windows, ao fornecer directrizes para aqueles que procuram defender os seus sistemas.

Grasshopper v1.1 Administrator Guide

Grasshopper v2.0.2 User Guide

 fonte

 Vault 7 – Comunicado de imprensa

Vault 7 – analise

Vault 7 – Dark Matter

Vault 7 – Marble

Vault 7 – Grasshopper

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Informação

This entry was posted on 12 de Abril de 2017 by in cia, USA, WikiLeaks and tagged , , , .

Navegação

Categorias

Follow A Arte da Omissao on WordPress.com
%d bloggers like this: