A Arte da Omissao

WikiLeaks: Vault 7 – Grasshopper

7 de Abril de 2017

Hoje, 7 de Abril de 2017, a WikiLeaks lança o Vault 7 “Grasshopper” com 27 documentos da framework Grasshopper da CIA, plataforma usada para construir cargas personalizadas de malware para sistemas operacionais Microsoft Windows.

Grasshopper é fornecido com uma variedade de módulos que podem ser usados por operadores da CIA como blocos para construir um implante personalizado que se comportará de forma diferente, por exemplo mantendo-se persistente no computador de forma diferente, dependendo dos recursos ou capacidades seleccionados no processo de construção do pacote.

Além disso, fornece uma linguagem muito flexível para definir regras a usar para “fazer um levantamento do dispositivo de destino antes da instalação, assegurando que a carga só será instalada se o alvo tiver a configuração correcta”.

Através desta gramática, os operadores da CIA são capazes de construir código muito simples ou  muito complexo, usado para determinar, por exemplo, se o dispositivo de destino está a executar uma versão específica do Microsoft Windows ou se um determinado produto antivírus está em execução ou não.

O Grasshopper permite que ferramentas sejam instaladas recorrendo ao uso de uma variedade de mecanismos de persistência e modificados, usando uma variedade de extensões (como encriptação).

A lista dos requisitos do Automated Implant Branch (AIB) para o Grasshopper põe especial atenção em evitar os PSP, de modo que qualquer Produto de Segurança Pessoal como ‘MS Security Essentials‘, ‘Rising‘, ‘Symantec Endpoint‘ ou ‘Kaspersky IS‘ na máquina alvo não detecte os elementos do Grasshopper.

Um dos mecanismos de persistência usados aqui pela CIA é o “Stolen Goods” – cujos “componentes foram retirados do malware conhecido como Carberp, um rootkit suspeito do crime organizado russo”, confirmando a reciclagem do malware encontrado na Internet pela CIA. “A fonte do Carberp foi publicada online, e permitiu que AED / RDB facilmente roubasse seus componentes quando necessários para o malware da CIA”.

Embora a CIA alegue que ” [a maioria] do Carberp não foi usada no “Stolen Goods “, reconhecem que “o método de persistência e partes do instalador foram tomadas e modificadas para atender às nossas necessidades”, fornecendo um outro exemplo de reutilização de porções do malware disponíveis publicamente pela CIA, como observado na sua análise do material vazado da empresa italiana “HackingTeam“.

Os documentos que a WikiLeaks publica hoje fornecem visões do processo da construção de ferramentas modernas de espionagem e como a CIA mantém a persistência em computadores infectados com Microsoft Windows, ao fornecer directrizes para aqueles que procuram defender os seus sistemas.

Grasshopper v1.1 Administrator Guide

Grasshopper v2.0.2 User Guide

 

 

fonte

Nota: realces e links desta cor são da minha responsabilidade

 

 Vault 7 – Comunicado de imprensa

Vault 7 – analise

Vault 7 – Dark Matter

Vault 7 – Marble

Vault 7 – Grasshopper

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

Information

This entry was posted on 12 de Abril de 2017 by in cia, espionagem, USA, Vigilância and tagged , , , .

Navegação

Categorias

Faça perguntas aos membros do Parlamento Europeu sobre o acordo de comércio livre, planeado entre a UE e o Canadá (CETA). Vamos remover o secretismo em relação ao CETA e trazer a discussão para a esfera pública!

%d bloggers like this: