Vault 8/ Hive, la CIA impersonava Kaspersky

Con la nuova serie, WikiLeaks renderà pubblici i codici sorgenti dei tool trattati dalla precedente serie di pubblicazioni Vault 7. Il primo leak rivela un certificato falso utilizzato dall'agenzia, che si spacciava per Kaspersky Lab

Roma – Nei giorni scorsi WikiLeaks ha creato una nuova serie di pubblicazioni, Vault 8 , dedicate a materiale classificato di proprietà della CIA. All’interno di Vault 8 saranno pubblicati esclusivamente i codici sorgenti relativi ai prodotti e alle soluzioni già rilasciate dall’organizzazione attraverso la serie Vault 7.

La prima di queste pubblicazioni rivela per l’appunto il codice sorgente di Hive, l’infrastruttura di command-and-control di cui WikiLeaks aveva pubblicato diversi manuali qualche mese fa.

Hive è una piattaforma di comunicazione che veniva utilizzata dalla CIA in modo da avere un canale di comunicazione tra gli operatori dell’agenzia e i malware installati sui computer bersaglio delle operazioni. Il duplice scopo del canale sicuro fornito da Hive era quello di inviare comandi e di esfiltrare dati.

infrastruttura hive

Il funzionamento di Hive è il seguente: i malware comunicano in HTTPS con dei server nascosti della CIA, chiamati Blot : come tramite della comunicazione vengono utilizzati dei server VPS, appositamente anonimizzati con l’utilizzo di domini di copertura; tra i server VPS e i server Blot vi sono una serie di connessioni VPN.

I server Blot utilizzano la non comune opzione del protocollo HTTPS ” Optional Client Authentication “, in modo da ingannare gli eventuali utenti che stiano visitando i domini registrati dalle VPS, dirigendo il loro traffico Internet su dei server di copertura che contengono dati non sensibili; i malware, invece, effettuano la loro autenticazione per mezzo di un certificato e il loro traffico viene direzionato su un gateway di gestione chiamato Honeycomb .

Tuttavia, la notizia più significativa relativa a questo ennesimo leak riguarda uno dei certificati utilizzati dalla CIA per operazioni di questo tipo: un “fake” registrato a nome di Kaspersky Lab e firmato dalla certificate authority sudafricana Thawte Premium Services .

Eugene Kaspersky, CEO e fondatore di Kaspersky Lab, ha recentemente dichiarato su Twitter di non avere niente a che fare con il suddetto certificato.

In conclusione, WikiLeaks dichiara che i contenuti relativi alla serie Vault 8 non conterranno vulnerabilità di tipo 0-day ; per quanto riguarda Hive è possibile scaricare il repository git , su cui sono disponibili diversi branch e la history dei commit .

Elia Tufarolo

Fonte Immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • anonimo veneziano scrive:
    svegliaaaaaaaaaaa
    "il wiper arriva sotto forma di allegato di un'email scritta in tedesco, con un file ZIP che dovrebbe contenere un curriculum compilato nella stessa lingua"Svegliaaaaaaaaaaaa! Ma si dai, apriamo qualsiasi cosa! Anche le mail scritte in un'altra lingua. Non si sa mai, potrebbe essere una vecchia eredità...
    • Scumm78 scrive:
      Re: svegliaaaaaaaaaaa
      guarda che esistono persone ma soprattutto aziende che ci lavorano con le altre nazioni quindi ricevere email in lingue differenti (persino curriculum) e' al quanto normale.
      • anonimo veneziano scrive:
        Re: svegliaaaaaaaaaaa
        Le mail truffaldine si riconosco subito dal titolo della mail stessa. Esempio: "CEAU TE VOGLIEVO CONOSCIERE, CONTROLA IL MIO CURICULUM". Svegliaaaaaaaaa
        • ... scrive:
          Re: svegliaaaaaaaaaaa
          No ma infatti il tedesco non lo parla nessuno, è una lingua fittizia.Non t'è passato magari per quel cervello bacato che magari queste email le mandano in tedesco usando come target utenti tedeschi? No eh?
          • panda rossa scrive:
            Re: svegliaaaaaaaaaaa
            - Scritto da: ...
            No ma infatti il tedesco non lo parla nessuno, è
            una lingua
            fittizia.

            Non t'è passato magari per quel cervello bacato
            che magari queste email le mandano in tedesco
            usando come target utenti tedeschi? No
            eh?Il target sono utenti winari, se hai letto bene l'articolo.Che poi siano anche tedeschi e' solo un "di cui".Ma vale sempre la massima: "no windows, no malware!"
          • Motorino in penna scrive:
            Re: svegliaaaaaaaaaaa


            Ma vale sempre la massima: "no windows, no
            malware!"Meglio ancora, "mo USB, no malware!", oppure, "no android, no malware!"Ciao ciccio
          • maxsix and bertuccia scrive:
            Re: svegliaaaaaaaaaaa
            - Scritto da: Motorino in penna



            Ma vale sempre la massima: "no windows, no

            malware!"

            Meglio ancora, "mo USB, no malware!", oppure, "no
            android, no
            malware!"

            Ciao ciccioMeglio ancora, "no MacOS, no bruciaXXXX".Ciao gayone!
          • anonimo veneziano scrive:
            Re: svegliaaaaaaaaaaa
            - Scritto da: ...
            No ma infatti il tedesco non lo parla nessuno, è
            una lingua
            fittizia.

            Non t'è passato magari per quel cervello bacato
            che magari queste email le mandano in tedesco
            usando come target utenti tedeschi? No
            eh?Uno che si rivolge ad un altro dandogli del cervello bacato, di solito non merita risposta. Ma faccio una piccola eccezione. Si parla di analista G-DATA (antivirus tedesco), ma non è detto che il target siano tutti utenti tedeschi. Poi ci sarebbero piccoli trucchetti da spiegare, ma con chi si pone come te ripeto il solito SVEGLIAAAAAAAA
          • ... scrive:
            Re: svegliaaaaaaaaaaa
            Ma... ma... ma che sei, rinXXXXXXXXto? (Newbie)
  • ... scrive:
    io sono..
    Un XXXXXXXX. (newbie)
  • ... scrive:
    io sono
    Un XXXXXXXX. (newbie)
  • Baubau scrive:
    Mi chiedo perchè Microsoft...
    Mi chiedo perchè Microsoft, nell'ultima major Release (Red Stone 3), non abbia fatto in modo di abilitare l'acXXXXX controllato alle cartelle, non solo a quelli che usano attivamente Windows Defender, ma anche a quelli che ad es. ce l'hanno abilitato in modalità passiva.Oppure perchè non abbia fornito delle API utilizzabili solo da programmi formalmente riconosciuti come anti-virali leciti dal sistema (al fine di evitare manipolazioni da parte di malware ecc.).
    • lorenzo scrive:
      Re: Mi chiedo perchè Microsoft...
      la domanda e' perche' si ostina a nascondere le estensioni dei file per default ...
      • ... scrive:
        Re: Mi chiedo perchè Microsoft...
        perché l'utonto non deve sapere come funziona la sua macchina sotto il cofano.quando ci stanno problemi deve correre dal meccanico accreditato (mamma micro$oft) e nessun altro.
        • prova123 scrive:
          Re: Mi chiedo perchè Microsoft...
          Da questo punto di vista apple è stata più furba, da sempre ha seppellito la resource fork all'interno del file.
      • panda rossa scrive:
        Re: Mi chiedo perchè Microsoft...
        - Scritto da: lorenzo
        la domanda e' perche' si ostina a nascondere le
        estensioni dei file per default
        ...Tratta i tuoi utenti come XXXXXXXX, e solo i XXXXXXXX useranno il tuo sistema.
        • ... scrive:
          Re: Mi chiedo perchè Microsoft...
          - Scritto da: panda rossa
          - Scritto da: lorenzo

          la domanda e' perche' si ostina a nascondere
          le

          estensioni dei file per default

          ...

          Tratta i tuoi utenti come XXXXXXXX, e solo i
          XXXXXXXX useranno il tuo
          sistema.ed ecco spiegata la diffusione planetaria di Windows.ah, Panda, ti sei gia' ripre4so dall'immane figura di XXXXX su Minix? che ti sia di lezione.
          • panda rossa scrive:
            Re: Mi chiedo perchè Microsoft...
            - Scritto da: ...
            - Scritto da: panda rossa

            - Scritto da: lorenzo


            la domanda e' perche' si ostina a
            nascondere

            le


            estensioni dei file per default


            ...



            Tratta i tuoi utenti come XXXXXXXX, e solo i

            XXXXXXXX useranno il tuo

            sistema.

            ed ecco spiegata la diffusione planetaria di
            Windows.

            ah, Panda, ti sei gia' ripre4so dall'immane
            figura di XXXXX su Minix? che ti sia di
            lezione.Vedi povero XXXXXXXX, per poter tacciare qualcuno di figura di XXXXX occorre prima di tutto essere identificabili.E se qualcuno, per non far capire agli altri che e' un XXXXXXXX, si nasconde dietro a tre puntini, puo' solo dire di essere XXXXXXXX.Tu che cosa sei?
          • ... scrive:
            Re: Mi chiedo perchè Microsoft...
            - Scritto da: panda rossa
            - Scritto da: ...

            - Scritto da: panda rossa


            - Scritto da: lorenzo



            la domanda e' perche' si ostina a

            nascondere


            le



            estensioni dei file per default



            ...





            Tratta i tuoi utenti come XXXXXXXX, e
            solo
            i


            XXXXXXXX useranno il tuo


            sistema.



            ed ecco spiegata la diffusione planetaria di

            Windows.



            ah, Panda, ti sei gia' ripre4so dall'immane

            figura di XXXXX su Minix? che ti sia di

            lezione.

            Vedi povero XXXXXXXX, per poter tacciare qualcuno
            di figura di XXXXX occorre prima di tutto essere
            identificabili.

            E se qualcuno, per non far capire agli altri che
            e' un XXXXXXXX, si nasconde dietro a tre puntini,
            puo' solo dire di essere
            XXXXXXXX.

            Tu che cosa sei?io sono un XXXXXXXX, chiaro no? (newbie)
          • ... scrive:
            Re: Mi chiedo perchè Microsoft...
            [img]http://media1.tenor.com/images/37a63537490e2f71ff2eac39e7442180/tenor.gif[/img]
          • Trono di Ceramiche scrive:
            Re: Mi chiedo perchè Microsoft...
            - Scritto da: panda rossa

            ah, Panda, ti sei gia' ripre4so dall'immane

            figura di XXXXX su Minix? che ti sia di

            lezione.

            Vedi povero XXXXXXXX, per poter tacciare qualcuno
            di figura di XXXXX occorre prima di tutto essere
            identificabili.Al contrario, è chi fa la figura di XXXXX che deve essere identificabile, altrimenti non puoi ricordarglielo ogni volta! (rotfl)
        • Joe Tornado scrive:
          Re: Mi chiedo perchè Microsoft...
          ... oppure ripristina la visualizzazione delle estensioni.
    • Sono in giro scrive:
      Re: Mi chiedo perchè Microsoft...
      Probabilmente perché sennò i produttori di antivirus si alterano. Questa funzionalità è disponibile in diversi prodotti.
Chiudi i commenti