Wikileaks ujawnia hakerskie poczynania CIA

Bezpieczeństwo IT

Wikileaks ujawniło pierwszą część posiadanych przez siebie tajnych dokumentów CIA. W ramach serii „Vault 7” demaskatorski portal ujawnia największy wyciek dokumentów z Centralnej Agencji Wywiadowczej. Pierwsza część zawiera 8761 dokumentów i plików pochodzących z izolowanej sieci znajdującej się w Center for Cyber Intelligence w Langley. Jak twierdzą redaktorzy Wikileaks niedawno CIA straciła kontrolę nad większością swojego arsenału hakerskiego zawierającego szkodliwy kod, wirusy, trojany, exploity dziur 0-day, systemy zdalnej kontroli oraz związaną z tym wszystkim dokumentację.

Narzędzia te, na które składają się setki milionów linii kodu, dają ich posiadaczom takie same możliwości prowadzenia cyberataków, jak ma obecnie CIA. Jak dowiadujemy się z Wikileaks ten cenny zestaw danych krąży podobno wśród nieposiadających odpowiedniej autoryzacji pracowników amerykańskich tajnych służb i firm z nimi współpracujących. To właśnie jedna z takich osób jest źródłem wycieku do Wikileaks.

Z ujawnionych danych dowiadujemy się, że grupa hakerska CIA pracująca pod skrzydłami Center for Cyber Intelligence ma ponad 5000 zarejestrowanych użytkowników i do końca ubiegłego roku stworzyła ponad tysiąc systemów do prowadzenia ataków, trojnów, wirusów i innego złośliwego kodu. Źródło Wikileaks twierdzi, że możliwości CIA i jej wydatki na cyberwojnę wymagają pilnej publicznej debaty, w tym zadania pytania, czy narzędzia, jakimi dysponuje agencja, nie wykraczają poza jej uprawnienia oraz czy obywatele mają wystarczający nadzór nad CIA. Zwraca też uwagę na olbrzymie niebezpieczeństwo związane z możliwością wycieku hakerskich narzędzi CIA poza amerykańską społeczność służb specjalnych.

Narzędzia hakerskie CIA są tworzone przez EDG (Engineering Development Group). To zespół programistów zatrudnionych w CCI (Center for Cyber Intelligence) wchodzącego w skład DDI (Directorate for Digital Innovation), jednego z pięciu głównych dyrektoriatów CIA.

Jednym z bardziej interesujących narzędzi stworzonych przez EDG jest oprogramowanie szpiegujące za pośrednictwem telewizorów z serii Smart TV Samsunga. Stworzono je we współpracy z brytyjskim MI5. Po zarażeniu telewizora kod o nazwie WeepingAngel wprowadza urządzenie w fałszywy tryb uśpienia. Właściciel telewizora sądzi, że urządzenie jest wyłączone, tymczasem jest ono aktywne, nagrywa toczone w pokoju rozmowy i wysyła je na serwer CIA.

Wiadomo też, że już pod koniec 2014 roku CIA starała się infekować systemy informatyczne samochodów i ciężarówek. Cel takiej operacji nie jest jasny, ale możemy sobie wyobrazić, że dzięki przejęciu kontroli nad pojazdem można np. dokonać zabójstwa wyglądającego jak wypadek.

Z kolei wchodząca w skład EDG Mobile Devices Branch stowrzyła liczne narzędzia pozwalające na zdalne przejęcie kontroli nad różnymi modelami smartfonów. Zarażone urządzenia wysyłały do CIA informacje o lokalizacji użytkownika, przekazywały treść SMS-ów i rozmów głosowych, a Agencja miała możliwość aktywowania ich kamer i mikrofonów. Wiadomo, że CIA ma możliwość atakowania i kontrolowania wielu urządzeń Apple’a wykorzystujących system iOS. Posiada też narzędzia do atakowania dziur typu 0-day. Narzędzia takie rozwija samodzielnie, otrzymuje je od NSA, FBI, brytyjskiego GCHQ oraz zleca ich wykonanie firmom zewnętrznym, jak np. przedsiębiorstwu Baitshop. Szczególne znaczenie, jakie CIA przywiązuje do urządzeń Apple’a może wiązać się z faktem, że są one używane przez wielu polityków, biznesmenów, aktywistów czy dyplomatów na całym świecie.

Urządzenia z iOS-em to nie jedyny cel hakerskich ataków CIA. Wikileaks ujawnia, że w samym tylko 2016 roku CIA dysponowało narzędziami pozwalającymi na przeprowadzenie ataków na 24 dziury 0-day występujące w Androidzie. Agencja posiada również narzędzia pozwalające na szpiegowanie takich programów jak WhatsApp, Signal, Telegram, Wiebo, Confide czy Cloackman. Nie musi przy tym martwić się szyfrowaniem. Dzięki kontrolowaniu zaatakowanych smartfonów kod CIA zbiera dane tekstowe i głosowe zanim jeszcze zostaną one zaszyfrowane przez urządzenia.

Dużą uwagę przywiązuje CIA do rozwoju narzędzie służących do atakowania systemu Windows. Jest wśród nich np. „Hammer Drill” infekujący oprogramowanie rozprowadzane na nośnikach optycznych, są wyspecjalizowane narzędzia do infekowania pamięci przenośnych takich jak USB, systemy pozwalające na ukrywanie danych w obrazach czy na niedostępnych dla użytkownika obszarach HDD. Przypomina to możliwości, jakie ma Equation Group, która – zdaniem Kaspersky Lab – prowadzi najbardziej zaawansowane operacje hakerskie na świecie. Wiemy też, że CIA opracowała wieloplatformowe narzędzia hakerskie, pozwalające na przeprowadzenie ataku i przejęcie kontroli nad Windows, Mac OS X, Linuksem, Solarisem i innymi systemami.
Ważną rolę w działalności CIA odgrywają nieujawnione producentom oprogramowania dziury typu 0-day. Eksperci Agencji znajdują i wykorzystują luki w oprogramowaniu m.in. Microsoftu, Apple’a czy Google’a. Warto tutaj zauważyć, że to ryzykowna strategia, gdyż jeśli dziury takie jest w stanie wykryć CIA, to prawdopodobnie mogą to zrobić agencje wywiadowcze innych państw. Nieinformowanie producentów oprogramowania o dziurach naraża wielu użytkowników na niebezpieczeństwo. Widzimy tutaj również, że CIA łamie zasady określone w Vulnerabilties Equities Process. Po długotrwałym lobbingu ze strony firm technologicznych rząd USA zgodził się, by producenci oprogramowania byli informowani o lukach wykrytych przez rządowe agendy. Wygląda na to, że CIA nie wywiązuje się z tego obowiązku.

Z dostarczonych Wikileaks dokumentów wynika również, że operacje hakerskie są prowadzone przez CIA nie tylko z Langley. CIA wykorzystuje też amerykański konsulat we Frankfurcie, który jest bazą dla tajnych cyberoperacji na terenie Europy, Bliskiego Wschodu i Afryki.

Wiele z opracowanych technik powstało z myślą o atakowaniu izolowanych sieci o wysokim stopniu zabezpieczeń. Taki atak wymaga jednak fizycznego dostępu do sieci docelowej. Atak przeprowadzany jest wówczas np. za pomocą umieszczonych na nośniku USB odpowiednich narzędzi, takiech jak Fine Dining, system zawierający 24 aplikacje. Osoba, która dokonuje ataku może przeprowadzić go nawet w obecności świadków. Na USB znajdują się bowiem niewinnie wyglądające narzędzia do odtwarzania wideo (np. VLC), pokazu slajdów (Prezi), gry (Breakout2, 2048) czy też skanery antywirusowe (Kaspersky, McAfee, Sopthos). Jednak w czasie, gdy widzimy pozornie nieszkodliwy program, w tle dochodzi do infekcji docelowego komputera.

CIA opracowała też standardy dotyczące pisania szkodliwego kodu. Ma być on stworzony tak, by jego analiza nie wskazywała na miejsce powstania. Podobne zasady istnieją też w odniesieniu do sposobu ukrywania komunikacji szkodliwego kodu z serwerem czy opisywania celów. Dzięki Wikileaks wiemy również, że programiści CIA mają narzędzia, które radzą sobie z większością znanych programów antywirusowych. Potrafią się przed nimi ukryć, oszukać je czy wyłączyć.

Facebooktwitter