venerdì, Febbraio 7, 2025

Come funzionano davvero le cyber-armi della Cia

Must Read

Questo articolo è stato pubblicato da questo sito

(foto: Getty Images)(foto: Getty Images)

Ci vorrà tempo per spulciare e studiare con attenzione gli oltre ottomila file che compongono Vault7, probabilmente la più grande fuga d’informazioni della storia (al momento), ma con una prima analisi è già possibile delineare le principali tipologie di strumenti coi quali la Cia, forse per la prima volta, si dimostra un braccio armato digitale anche più potente della National Security Agency (Nsa). WikiLeaks li divide, essenzialmente, in Branch (ramificazioni), Project (progetti), Operating Systems/Platforms (Sistemi operativi/Piattaforme), Development/Tools (Sviluppo/Strumenti), Users (Utenti). A loro volta, i rami (branch) sono suddivisi in:

Embedded development branch
Remote development branch
Operational support branch
Mobile development branch
Automated implant branch
Network devices branch

La famosa Smart tv
I sistemi embedded sono, per esempio, quegli apparecchi dotati di un proprio sistema operativo non ascrivibile ai classici per computer o smartphone. Spesso si tratta di versioni modificate ad hoc di sistemi come Windows o Android, in altri casi versioni di Linux, Unix o altri software di sistema meno conosciuti.

In questa categoria ricade, per esempio, il sistema di sorveglianza per la smart tv Samsung F8000. Si basa su una tecnica di fake off. Significa che, anche la smart tv viene spenta, in realtà rimane accesa nelle sue funzioni sensoriali. Il microfono, dunque, rimane acceso.

Un televisore Samsung F8000.Un televisore Samsung F8000.

Com’è possibile? Grazie a Weeping Angel. Partiamo col dire che sì, il nome prende spunto proprio dai mostri di Doctor Who, angeli che si muovono e attaccano solo mentre non sono visti, in caso contrario diventano innocue statue.

Leggi anche

Si tratta a tutti gli effetti di un malware, sviluppato in ambiente Ubuntu, che prende la forma di un’app per Samsung. Nella fattispecie, il processo d’installazione si occupa prima di evitare il controllo delle firme digitali delle app pre-installate, e quindi di effettuare l’hooking di una di queste.

Come ti frego Android
L‘hooking, in effetti, ricorre spesso, tra gli strumenti (tool) citati nella documentazione rilasciata da WikiLeaks. Si tratta di una tecnica con la quale si modifica il comportamento di un’app senza averne a disposizione il relativo codice sorgente, cioè le istruzioni che la compongono. Viene utilizzata, in particolare, per deviare il traffico dati da un indirizzo a un altro. È proprio così che, nel caso di Weeping Angel, l’app presa di mira viene forzata a scaricare un file che, di fatto, la va a sostituire. Senza bisogno del rooting (che comunque può essere effettuato per agevolare certe operazioni).

Una volta che il software malevolo è attivo, oltre alla modalità fake-off è in grado di eseguire altre funzioni. Per esempio, estrae le credenziali della connessione wireless, è in grado di eseguire il rooting del televisore (processo che permette un controllo privilegiato sul sistema) e blocca il sistema di aggiornamento da parte di Samsung.

Il copiatore di floppy disk
Anche Pterodactyl fa parte dell’Embedded Development Branch, sebbene si tratti di un dispositivo hardware dedicato alla copia super-veloce di floppy disk da 3,5″ in modo nascosto. Niente di cervellotico: Ptero si basa su soluzioni Gumstix, Raspberry Pi o Cotton-Candy, cioè piccoli computer su scheda o chiavetta, dotati di un sistema operativo Linux ottimizzato per la copia veloce.

Uno degli schemi del progetto Pterodactyl.Uno degli schemi del progetto Pterodactyl.

QuarkMatter è più complesso e le informazioni disponibili pubblicamente non sono molte. Si tratta, comunque, si un Mac Ox X Efi implant, quindi di uno strumento software di tipo rootkit per modificare il kernel, cioè il cuore, dei sistemi operativi di computer Apple. Hive è l’equivalente per Windows e Linux, sebbene appaia ancora in uno stato embrionale e capace solo di aprire il cuore di questi due sistemi operativi per dare accesso a strumenti futuri.

Di questa tipologia, che non è strano essere la più diffusa tra gli strumenti della Cia, è anche HarpyEagle. Si tratta di un sistema col quale è possibile effettuare il rooting del firmare di Airport Extreme e Time Capsule. In pratica, sfruttando una memoria collegata a questi due dispositivi, o perfino da remoto, è possibile modificare i loro sistemi operativi interni. Soprattutto per intercettarne i dati.

Materiale italiano (che scotta)
Tra gli strumenti del Remote Development Branch non si trova molto, probabilmente si tratta di quelli sviluppati più di recente o meno supportati. La parte del leone, tuttavia, è fatta da Hacking Team, il gruppo italiano che venne hackerato nel 2015. Nei documenti pubblicati da WikiLeaks emerge ciò che in molti sospettavano. E cioè che il (tanto) materiale dell’azienda milanese, una volta pubblicato ai quattro venti, è stato analizzato e utilizzato come ispirazione. Il materiale qui presente, tuttavia, dà più l’idea di essere uno studio dell’assortimento di file rilasciati al pubblico due anni fa, più che una valutazione effettiva dei possibili utilizzi da parte della Cia. Tutto questo lavoro appare svolto da Umbrage, nome del team interno dedito a questo genere di attività. Attività che implicano anche la raccolta di strumenti di hacking belli e pronti. Per esempio un key-logger, cioè un software che intercetta i pulsanti premuti sulla tastiera, che si basa sulla libreria DirectInput di Microsoft. Oppure un malware per estrarre password memorizzate da Internet Explorer. E, ancora, il DarkComet Rat. Si tratta di una vecchia conoscenza degli hacker: un Remote Administration Tool in grado di prendere il controllo pressoché totale di un computer, con particolare enfasi sull’utilizzo di una webcam da remoto.

Sono solo alcuni esempi di ciò che Umbrage eseguiva regolarmente: raccoglieva tool di altri hacker o società coinvolte nel settore, di fatto mettendoli a catalogo e a disposizione della Cia.

Più interessante, l’Operational Support Branch. Si tratta di una categoria di tool e tecniche sviluppati ad hoc di risolvere esigenze molto specifiche.

Timestomper è un’utility per modificare al volo data e ora di creazione di uno o più file, mentre Munge Payload ha lo scopo di crittogafare i payload, cioè i piccoli software che devono essere installati in un sistema al fine di caricarne altri da un computer remoto, in modo che non vengano rilevati dai software di sicurezza.

Un malware multimediale
Molto interessante è Rain Maker. Si tratta a tutti gli effetti di un trojan, che viene nascosto nel lettore multimediale Vlc. Non faticherete certo a riconoscerlo come quel lettore che viene proposto come download da buona parte di siti pirata o di streaming. Proprio la sua diffusione lo ha trasformato nel vettore perfetto per Rain Maker. Una volta che il malware è installato, può letteralmente fare di tutto. Creare, modificare e cancellare file e cartelle, per esempio. Leggendone la guida appare chiaro che questo tool è dedicato ai sistemi air-gap, cioè i computer scollegati da Internet e che possono essere infettati solo con una chiavetta Usb. Una chiavetta in cui, appunto, è presente la versione infetta di Vlc Player.

Il manuale d'utilizzo di Rain Maker. Il manuale d’utilizzo di Rain Maker.

Temibile è anche HammerDrill v.20. Si tratta di uno strumento capace di rilevare l’utilizzo di un masterizzatore cd/dvd. Nel momento in cui si usa il software Nero per masterizzare un disco, HammerDrill è in grado di agganciare un trojan ai file che vengono copiati. In questo modo, si diffondono i malware senza nemmeno bisogno di una Rete.

L’Automated Implant Branch è dedicato, invece, a tutti quegli strumenti capaci di essere eseguiti autonomamente. Grasshopper, in particolare, è un insieme di installer, cioè software dedicati all’installazione di altri programmi (malevoli).

Non si salva nessuno
Il Network Devices Branch è invece dedicato alla compromissione di apparecchi di rete, come router e switch. In genere, ma non solo, apparecchi presenti a livello industriale. Qui si trovano strumenti di implanting, cioè con cui infilare malware dentro i firmware degli apparecchi, per le più disparate marche. Per esempio apparecchi Linksys, ma anche Cisco, Hp, Huawei e altri ancora.

Anche Apple nel mirino
Ci sono, infine, i progetti sciolti, non legati a divisioni particolari, che sono per la maggior parte strumenti di collaborazione tra gli sviluppatori dediti a queste attività della Cia, e soprattutto la sezione Operating Systems/Platform. Qui, si trovano tecniche e strumenti (exploit) per sfruttare vulnerabilità di iOs, Mac Os, Linux, Android e perfino VMWare, che è un software di virtualizzazione per eseguire un sistema operativo all’interno di un altro sistema operativo.

Impressionante notare che se ne trovano diversi per iOs 8 e perfino per iOs 9 e 9.2. Tutti di alto livello, consentono di copiare zone di memoria, inviare file ed evitare il controllo delle firme digitali delle app, in modo da poterne installare di arbitrarie.

Va da sé che occorrerà moltissimo tempo per analizzare e avere una chiara visione di tutta la documentazione emersa grazie a questo leak, ma fin da ora è evidente che anche sistemi e software che si pensano relativamente più sicuri di altri, sono assolutamente attaccabili con strumenti complessi da realizzare ma tutto sommato molto semplici da usare. Vere e proprie cyber-armi con tanto di guide for dummies per agenti governativi.

Vuoi ricevere aggiornamenti su questo argomento?

Segui

- Advertisement -spot_img
- Advertisement -spot_img
Latest News

Elezioni in Germania, chi c'è dietro una rete di siti di fake news che ha preso di mira il voto

“Il primo sito del network è stato registrato già nel luglio 2024, ma la rete ha iniziato a espandersi...
- Advertisement -spot_img

More Articles Like This

- Advertisement -spot_img