Vault7, è il turno di Hive

Vault7, è il turno di Hive

Wikileaks sembra non avere alcuna intenzione di fermarsi. E così vengono resi pubblici anche i documenti relativi all'infrastruttura di Command and Control realizzata dalla CIA
Wikileaks sembra non avere alcuna intenzione di fermarsi. E così vengono resi pubblici anche i documenti relativi all'infrastruttura di Command and Control realizzata dalla CIA

Risale a qualche giorno fa la pubblicazione dell’ultima tranche di documenti relativi a Vault7 , quando Wikileaks reso disponibile online il materiale relativo ad Hive , l’infrastruttura di Command and Control realizzata dalla CIA per eseguire operazioni a livello Ring 2 su macchine Linux, ARM, MikroTik , AirOS, Solaris e Windows (2000, XP SP3, WinServer 2003).


Il progetto, nato con l’obiettivo di stabilire un punto di appoggio ( foothold ) sugli host per potervi poi eseguire tool più specifici, ha impegnato le risorse dell’Agenzia dall’ottobre 2010 fino a fine 2015, quando venne rilasciata la versione 2.9.1 oggetto del leak di questi giorni. Dalla documentazione rilasciata emerge come il sistema sia in grado di lavorare in due modalità, ossia con funzioni di beaconing e interactive shell .
Nella prima il tool simula una connessione SSLv3 via proxy per inviare in modo cifrato informazioni quali tool ID, uptime, MAC address, lista dei processi attivi, ipconfig/ifconfig, netstat -rn/-an al centro di comando, mentre la seconda permette all’operatore che disponga del client Hive di inviare un trigger ad una macchina infetta per aprire una connessione cifrata tramite AES al fine di inviare specifici comandi in grado di eseguire applicazioni, caricare/scaricare/cancellare file o addirittura aprire una shell all’host.

Hive Trigger

Come spiegato dallo staff di Wikileaks nel post relativo ad Hive, Symantec aveva fatto sapere di aver riscontrato in passato attività riconducibili all’utilizzo degli strumenti Vault7 da parte del gruppo Longhorn , senza però riuscire – fino a poche settimane fa – a collegarle direttamente all’Agenzia a causa della complessa rete di comunicazione tra frontend e backend.

Ovviamente tutta la vicenda Vault7 non sta facendo piacere né alla CIA né al suo nuovo direttore Mike Pompeo, il quale proprio il giorno prima del rilascio di Hive ha dichiarato che Wikileaks agisce e parla come un servizio di intelligence ostile (agli Stati Uniti). Senza entrare nel merito della questione, c’è da sperare che quanto scoperto da Wikileaks riesca a far innalzare (su scala globale) il livello di attenzione relativo alla cybersecurity e porti al più presto a proposte concrete per evitare che questi strumenti vengano utilizzati impunemente da persone senza scrupoli, come successo anche di recente con la piattaforma Galileo, oggetto del leak di Hacking Team .

Niccolò Castoldi

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
19 apr 2017
Link copiato negli appunti