Vault 7 / Progetto Imperial, tool per hackerare Mac e sistemi POSIX

Vault 7 / Progetto Imperial, tool per hackerare Mac e sistemi POSIX

I manuali della CIA pubblicati da WikiLeaks riguardano rootkit in grado di infettare vecchie versioni di MacOS, Linux e Unix. Anche stavolta non sono stati pubblicati sorgenti o applicativi
I manuali della CIA pubblicati da WikiLeaks riguardano rootkit in grado di infettare vecchie versioni di MacOS, Linux e Unix. Anche stavolta non sono stati pubblicati sorgenti o applicativi

Nella giornata di venerdì 27 luglio WikiLeaks ha pubblicato nuovi documenti del database Vault7 relativi al progetto Imperial della CIA. I documenti sono manuali di istruzioni per tre tool: Achilles , SeaPea e Aeris ; i primi due strumenti, in particolare, sono dedicati al sistema operativo desktop di Apple.

wikileaks cia

Achilles
Achilles 1.0 è un semplice script bash che consente di modificare un’immagine MacOS avente estensione DMG, integrando al suo interno uno o più eseguibili in grado di girare sul sistema operativo target alla prima esecuzione. Al termine dell’esecuzione gli eseguibili vengono cancellati dal sistema.
Lo script è stato testato con successo su Mac OS X 10.6 Snow Leopard; l’unica problematica legata a questo script è il fatto che un eventuale user agreement presente all’interno dell’immagine MacOS originale non viene visualizzato durante l’esecuzione dell’immagine infetta. Inoltre, è decisamente probabile che la dimensione ed il checksum dell’immagine infetta non coincidano con quelle dell’immagine originale.

SeaPea
SeaPea 4.0 è un rootkit per OS X 10.6 e 10.7 (Snow Leopard e Lion) in grado di nascondere all’utente file, cartelle, processi, connessioni socket .
Una volta installato SeaPea parte all’avvio del sistema ed effettua, nell’ordine, questa serie di operazioni, rimuovendosi automaticamente in caso di eventuali fallimenti.

  • Controllo di eventuali kernel panic causati dal rootkit stesso: nel caso ce ne siano 3 o più, il rootkit si disinstalla.
  • Rilevamento della versione del kernel, in base alla quale viene avviato il rootkit per Snow Leopard o quello per Lion.
  • Diagnostica: il rootkit testa una ad una tutte le sue funzionalità.

Il rootkit è in grado di suddividere i processi in tre categorie: Normal , Elite e Super-Elite : l’attività dei processi di tipo Elite è nascosta sia ai processi di tipo Normal che ai processi di tipo Elite; dunque, un processo di questo tipo non può visualizzare neanche la propria attività. I processi di tipo Super-Elite, invece, sono in grado di visualizzare tutta l’attività in esecuzione sul sistema.

Le medesime regole si applicano ai file e alle cartelle create, nonché alle connessioni aperte dai processi: per quanto riguarda il file system, una serie di nomi di file, registrati in un database del rootkit, sono invisibili ai processi di tipo Normal ed Elite; per quanto riguarda la rete, le socket IPv4 aperte da processi Elite e Super-Elite sono invisibili per i processi Normal ed Elite. Socket di tipo IPv6 ed UDP, tuttavia, non vengono nascoste.

Il rootkit è gestibile per mezzo di una command-line ; le uniche limitazioni riguardano il mancato avvio in modalità single user mode e il fatto che i file siano visibili, nel caso in cui il file system venga montato remotamente su un altro sistema.

Aeris
Aeris 2.1, chiamato così in riferimento all’eroina co-protagonista del gioco Final Fantasy VII, è un software scritto in C e dedicato a sistemi operativi POSIX: nello specifico Debian 7, Red Hat Enterprise Linux 6, Solaris 11, FreeBSD 8, CentOS 5.3 e 5.7.

aeris final fantasy

Lo scopo della soluzione, corredata da una serie di utility scritte in Python, è quello di esfiltrare dati dal sistema infetto : è difatti presente il supporto ai protocolli HTTPS, SMTP, TLS con mutua autenticazione.
È inoltre compatibile con le specifiche NOD di crittografia e fornisce un tool di tipo command and control .
La comunicazione è di tipo client-server: ad ogni ciclo il client scarica un payload tramite una chiamata HTTPS GET all’URL /update.pkg ; dopodiché i dati collezionati vengono inviati in upload dal client tramite una chiamata HTTPS POST all’URL /agnt.cgi .

Elia Tufarolo

Fonte Immagini: 1 , 2

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 31 lug 2017
Link copiato negli appunti