CIA False Flag团队重新浏览Shamoon Data Wiper,其他恶意软件
Wikileaks星期二发布的美国中央情报局文件表明,该机构的团队之一专门从事公共恶意软件样本中重用代码和技术。
根据泄露的文件,Umbrage团队是CIA“网络智能中心下的远程开发分支机构的一部分。它维护了一系列从野生恶意软件借来的技术库,可以集成到自己的项目中。
这样做有两个好处:其中一个是它降低了在内部开发工具以实现相同目标所需的成本和时间。其次是它使得原子能机构的恶意软件工具类似于他人的恶意软件,可能会使恶意软件分析师混淆到原始攻击,并导致他人归咎于原子能机构的假旗作业。
例如,由Umbrage借来的这项技术之一是在SMAMOON中擦拭实施的文件,该计划是2012年在沙特阿拉伯国家石油公司的30,000台计算机中摧毁了数据的网络表带计划。此恶意软件背后的集团最近返回了新攻击。
赛赛赛的第一版滥用了一个名为Eldos的公司开发的商业,数字签名的司机,称为Rawdisk。一旦安装在系统上,即使操作系统锁定,此驱动程序也允许应用程序覆盖文件。
Umbrage团队分析了SMAMOON作者如何绕过Rawdisk驱动程序的许可证检查,并在自己的组件中实现了相同的磁盘擦除技术被称为反弹。
它可能是遇到野外反弹的防病毒程序或恶意软件分析师会将其视为赛中变体而不是完全单独的恶意软件程序。
中央情报局的存储库包括许多从已知恶意软件中获取的许多其他技术和代码片段,可用于数据收集,持久性,隐形,防病毒旁路,特权升级和系统测量。
例如,有一个持久性技术从远足rootkit借来的两种反沙箱技术,从木马卧式和核开采包借来,以及从黑暗的大鼠借来的网络摄像头捕获技术。其他记录的技术只有“已知恶意软件”,如未被实际命名的恶意软件所列出的源。
并非Umbrage的所有技术都已重新批准为内部项目,但有些则重新批准。虽然列出了这些内部项目的代码名称,但泄露文件中的一些信息有关他们实际执行的。
异常是一个名为sandshark的工具,它在另一个文档中提到了另一个文件,作为“听力帖子”软件。对于其他人来说,他们的一些功能可以从他们借来的技术中推断出来。
Umbrage团队也对2015年泄露的代码感兴趣,从叫做黑客团队的意大利监控软件公司泄露。该公司将监控软件销售为守工和情报机构的Windows,MacOS,Linux和移动操作系统。在某些情况下,它还提供了在目标设备上远程安装软件所需的漏洞。
泄露的众所周知的文件表明,中央情报局的审查措施首先重点关注实施Windows平台的黑客队“植入物”。调查结果足以让努力稍后扩展到全部数据转储和所有平台的代码。
没有指示是否在最终实际重新批准的任何代码,但在Umbrage Internal Wiki中的一些评论表明这绝对是一种可能性。
“如果有兴趣使用源代码中的一些实现,则应被视为提取所需部分的最佳做法,并彻底审查和测试提取的部分”,导致审查写道的人。
在恶意软件中种植假旗帜并不是一种新的发展,它是为什么建立对CyberAtcks的准确归因几乎不可能的原因之一。当有人将春季或以高度信心的国家/地区归属于特定群体或国家时,经验丰富的恶意软件分析师总是持怀疑态度。
10月,卡巴斯基实验室的研究人员在Cyberespionage行动中发表了一篇关于错误标志事件的论文。众所周知的策略众所周知的群体包括:APT28 / PAWN Storm / Sofacy是去年负责黑客入侵美国民主国家委员会的俄罗斯讯讯组织,一些人认为与俄罗斯的军事情报局联系起来 - GRU;拉撒路集团,有些人认为是联系的朝鲜; Turla,另一个俄罗斯州春季春天的赛支集团和Duqu,被怀疑来自以色列。
具有讽刺意味的是,泄露的CIA文件,指定了哪些技术的漏洞组织的使用者现在可以帮助防病毒公司在原子能机构开发的恶意软件计划中获取。
