Caveau 7 – Rivelati gli strumenti di pirateria informatica della CIA

Redazione 11 marzo 2017 1
Print Friendly

WikiLeaksTheTruth

di WikiLeaks – 7 marzo 2017

COMUNICATO STAMPA

Oggi, 7 marzo 2017, WikiLeaks inizia la sua nuova serie di rivelazioni sulla Central Intelligence Agency statunitense. Con il nome di codice di “Caveau 7” (Vault 7) attribuitagli da WikiLeaks, si tratta della pubblicazione più vasta che mai di documenti riservati sull’agenzia.

La prima parte completa della serie, “Anno zero”, è costituita da 8.761 documenti e cartelle di una rete isolata di alta sicurezza situata all’interno del Centro di Spionaggio Cibernetico della CIA a Langley, Virginia. Fa seguito a una rivelazione introduttiva dello scorso mese riguardante l’attacco della CIA a partiti politici e candidati francesi nella corsa alle elezioni presidenziali del 2012.

Recentemente la CIA ha perso il controllo della maggioranza del suo arsenale piratesco, compresi codici maligni (malware), virus, trojans, exploit “zero day” aggressivi, sistemi di controllo remoto dei codici maligni e documentazione associata. Questa raccolta straordinaria, che ammonta a più di diverse centinaia di milioni di linee di codice, dà al suo possessore l’intera capacità di pirateria della CIA. L’archivio risulta aver circolato tra ex pirati governativi e appaltatori statunitensi in modo non autorizzato, uno dei quali ha fornito a WikiLeaks parti dell’archivio.

“Anno Zero” introduce la portata e la direzione del programma clandestino di pirateria globale della CIA, il suo arsenale di codici maligni e dozzine di exploit “zero day” aggressivi contro una vasta gamma di prodotti industriali statunitensi ed europei, tra cui l’iPhone della Apple, Android di Google e Windows di Microsoft e persino televisori Samsung, che sono trasformati in microfoni clandestini.

Dal 2001 la CIA ha conquistato superiorità politica e di bilancio sull’Agenzia della Sicurezza Nazionale USA (NSA). La CIA si è ritrovata a costruire nono solo la sua oggi famigerata flotta di droni, ma anche un tipo diverso di forza clandestina, estesa a tutto il globo: la sua considerevole flotta di pirati informatici. La divisione dei pirati dell’agenzia, l’ha liberata dal dover rivelare le sue operazioni spesso controverse alla NSA (la sua principale rivale burocratica) per poter attingere al potenziale di pirateria della NSA.

Arrivati alla fine del 2016 la divisione di pirateria informatica della CIA, che formalmente ricade sotto il Centro di Ciber-Spionaggio(CCI) dell’agenzia, aveva 5.000 utenti registrati e aveva prodotto più di un migliaio di sistemi di pirateria, trojan, virus e altro codice maligno “aggressivo” (weaponized). Tale è la dimensione dell’impresa della CIA che al 2016 i suoi pirati avevano utilizzato più codice di quello usato per gestire Facebook. La CIA aveva creato, in effetti, la sua “NSA interna” con ancor meno doveri di rendere conto e senza rispondere pubblicamente alla domanda se una spesa di bilancio così massiccia per duplicare le capacità di un’agenzia rivale poteva essere giustificata.

In una dichiarazione a WikiLeaks la fonte dettaglia le questioni di politiche che afferma hanno urgente necessità di essere dibattute in pubblico, compreso se il potenziale di pirateria della CIA eccede i poteri di cui ha avuto mandato e il problema del controllo pubblico dell’agenzia. La fonte desidera avviare un dibattito pubblico sulla sicurezza, creazione, utilizzo, proliferazione e controllo democratico delle armi cibernetiche.

Una volta che una singola “arma” cibernetica è lasciata “sciolta” può diffondersi nel mondo nel giro di secondi, essere utilizzata da stati rivali, dalla mafia informatica e da pirati adolescenti.

Julian Assange, direttore di WikiLeaks, ha affermato che “c’è un rischio estremo di proliferazione nello sviluppo di “armi” cibernetiche. Si possono trarre dei confronti tra la proliferazione di tali ‘armi’, che deriva dall’incapacità di contenerle sommata al loro alto valore di mercato, e il mercato globale degli armamenti. Ma il significato di “Anno Zero” va ben oltre la scelta tra ciber-guerra e ciber-pace. La rivelazione è eccezionale anche da un punto di vista politico, legale e forense”.

WikiLeaks ha esaminato attentamente la rivelazione di “Anno Zero” e ha pubblicato considerevole documentazione della CIA, evitando contemporaneamente la distribuzione di armi cibernetiche “aggressive” fino a quando non emergerà un consenso sulla natura tecnica e politica del programma della CIA e su come tali ‘armi’ andrebbero analizzate, disinnescate e pubblicate.

WikiLeaks ha anche deciso di oscurare e rendere anonime alcune informazioni identificatrici in “Anno Zero” ai fini di un’analisi approfondita. Tali interventi comprendono decine di migliaia di bersagli della CIA e di macchine di attacco in tutta l’America Latina, l’Europa e gli Stati Uniti. Anche se siamo consapevoli dell’imperfezione dei risultati di ogni approccio scelto, restiamo dediti al nostro modello pubblicazione e segnaliamo che la quantità di pagine pubblicate nel “Caveau 7”, parte prima (“Anno Zero”) già supera il numero totale di pagine pubblicate nei primi tre anni delle rivelazioni di Edward Snowden sulla NSA.

 

ANALISI

Il codice maligno della CIA attacca iPhone, Android e televisori intelligenti

Il codice maligno e gli strumenti di pirateria sono costruiti dall’EDG (Engineering Development Group), un gruppo di sviluppo di software interno al CCI (Centro del Ciber-Spionaggio), un dipartimento appartenente alla DDI della CIA (Direzione dell’Innovazione Digitale). La DDI è una delle principali direzioni della CIA (vedere questo organigramma della CIA per maggiori dettagli).

L’EDG è responsabile dello sviluppo, della sperimentazione e del supporto operativo di tutti gli accessi illegali (backdoor), exploit, payload maligni, trojan, virus e di ogni altro tipo di codice maligno usato dalla CIA nella sue operazioni clandestine in tutto il mondo.

La crescente sofisticazione delle tecniche di sorveglianza ha suggerito paragoni con il “1984” di George Orwell, ma “Weeping Angel” [Angelo piangente], sviluppato dall’Embedded Devices Branch (EDB) [Sezione Dispositivi Integrati] della CIA, che infesta i televisori intelligenti trasformandoli in microfoni clandestini, è certamente la sua realizzazione più emblematica.

L’attacco conto i televisori intelligenti della Samsung è stato sviluppato in collaborazione con il MI5/BTSS del Regno Unito. Dopo il contagio Weeping Angel pone il televisore bersaglio in uno stato di “Finto spento”, in modo che il proprietario ritiene erroneamente che il televisore sia spendo quando in realtà è acceso. Nello stato di “Finto spento” il televisore agisce come una cimice, registrando conversazioni nella stanza e trasmettendole via Internet a un server occulto della CIA.

La Sezione Dispositivi Mobili (MDB) della CIA ha sviluppato numerosi attacchi per piratare da distanza e controllare smartphone popolari. Ai telefoni infettati possono essere date istruzioni di trasmettere alla CIA la geoposizione, i messaggi audio e di testo e di attivare nascostamente la telecamera e il microfono del telefono.

A partire dall’ottobre del 2014 la CIA ha anche considerato la possibilità di infettare sistemi di controllo dei veicoli usati da auto e camion moderni. Lo scopo di tale controllo non è specificato, ma permetterebbe alla CIA di attuare assassinii quasi non individuabili.

Nonostante la quota minoritaria (14,5%) dell’iPhone nel mercato globale degli smartphone nel 2016, un’unità specializzata della Sezione Dispositivi Mobili della CIA produce codice maligno per infettare, controllare ed estrarre dati da iPhone e altri prodotti della Apple che girano su iOS, quali gli iPad.  L’arsenale della CIA include numerosi “zero day” locali e remoti sviluppati dalla CIA o ottenuti da GCHQ, NSA, FBI o acquistati da appaltatori di armi cibernetiche quali Baitshop. La concentrazione sproporzionata sull’iOS può essere spiegata dalla popolarità dell’iPhone tra le élite sociali, politiche, diplomatiche ed economiche.

Un’unità analoga ha nel mirino Android di Google che è usato per gestire la maggioranza degli smartphone del mondo (circa l’85%), compresi Samsung, HTC e Sony.  L’anno scorso sono stati venduti 1,15 miliardi di telefoni basati su Android. “Anno Zero” mostra che dal 2016 la CIA aveva 24 “zero day aggressivi” contro Android che ha sviluppato indipendentemente e ottenuto da GCHQ, NSA e appaltatori di armi cibernetiche.

Queste tecniche permettono alla CIA di aggirare la crittografia di WhatsApp, Signal, Telegram, Wiebo, Confide e Cloackman piratando i telefoni “intelligenti” su cui operano e raccogliendo traffico audio e di segnali prima che sia applicata la crittografia.

 

Codice maligno della CIA attacca Windows, OSx, Linux, router

La CIA dedica anche un considerevole sforzo a infettare e controllare gli utenti di Microsoft Windows con il proprio codice maligno. Ciò comprende molteplici “zero day” aggressivi, virus che superano il problema della comunicazione via aerea quali “Hammer Drill”, che infetta il software distribuito su CD/DVD,  codici infestanti per media rimuovibili di tipo USB, sistemi che celano dati in immagini o in aree occulte dei dischi (“Brutal Kangaroo”) e mantengono attivo il contagio del codice maligno.

Molti di questi sforzi di contagio sono raggruppati dalla Automated Implant Branch (AIB) [Sezione Impianti Automatizzati] della CIA, che ha sviluppato numerosi sistemi di attacco per il contagio e il controllo automatizzato del codice maligno della CIA, quali “Assassin” e “Medusa”.

Attacchi contro l’infrastruttura e i server di rete di Internet sono sviluppati dalla Network Devices Branch (NDB) [Sezione Dispositivi di Rete] della CIA.

La CIA ha sviluppato sistemi di attacco e controllo automatizzati multipiattaforma che coprono Windows, Mac OS X, Solaris, Linux e altro, quali “HIVE” dell’EDB e gli strumenti correlati “Cutthroat” e “Swindle” che sono descritti nella successiva sezione esempi.

 

Vulnerabilità ‘tesaurizzate” dalla CIA (“zero day”)

Dopo le rivelazioni di Edward Snowden sulla NSA, l’industria tecnologica degli Stati Uniti si è garantita un impegno dell’amministrazione Obama che l’esecutivo avrebbe rivelato su base continua – anziché tesaurizzarle – le vulnerabilità gravi, gli exploit, i bachi o “zero day” alla Apple, a Google, alla Microsoft e ad altri produttori con sede negli Stati Uniti.

Vulnerabilità gravi non rivelate ai produttori pongono enormi strati della popolazione e infrastrutture critiche a rischio che servizi spionistici stranieri o criminali informatici scoprano indipendentemente o vengano a conoscenza di voci sulla vulnerabilità.  Se la CIA è in grado di scoprire tali vulnerabilità, lo stesso possono farlo altri.

L’impegno del governo statunitense al Vulnerabilities Equities Process [grosso modo “gestione degli interessi relativi alle vulnerabilità”] è arrivato dopo considerevoli pressioni delle imprese tecnologiche statunitensi che rischiano di perdere la loro quota del mercato globale a causa di vulnerabilità occulte reali o percepite. Il governo ha affermato che avrebbe rivelato con continuità tutte le vulnerabilità pervasive scoperte dopo il 2010.

I documenti di “Anno Zero” mostrano che la CIA ha violato gli impegni dell’amministrazione Obama. Molte delle vulnerabilità usate dall’arsenale  cibernetico della CIA sono pervasive e alcune possono essere già state scoperte da servizi di spionaggio rivali o da criminali informatici.

Ad esempio uno specifico codice maligno della CIA rivelato in “Anno Zero” è in grado di penetrare, infettare e controllare sia telefoni Android sia software iPhone che gestiscono o hanno gestito account Twitter presidenziali. La CIA attacca tali software utilizzando vulnerabilità di sicurezza non rivelate (“zero day”) a conoscenza della CIA, ma se la CIA può piratare tali telefoni allora può farlo chiunque altro abbia avuto notizia o abbia scoperto la vulnerabilità. Fintanto che la CIA mantiene tali vulnerabilità celate ad Apple e a Google (che producono i telefoni) esse non saranno corrette e i telefoni resteranno piratabili.

Le stesse vulnerabilità esistono per la popolazione in generali, compresi il Gabinetto USA, il Congresso, amministratori delegati di vertice, amministratori di sistemi, operatori e ingegneri della sicurezza. Celando tali difetti della sicurezza a produttori come Apple e Google la CIA si assicura di poter piratare chiunque, a costo di lasciare tutti piratabili.

 

I programmi di “guerra cibernetica” sono un grave rischio di proliferazione

Non è possibile tenere sotto controllo efficace le “armi” cibernetiche.

Mentre la proliferazione nucleare è stata limitata dai costi enormi e dalle infrastrutture visibili necessarie per assemblare una quantità di materiale fissile sufficiente a produrre una massa critica, le “armi” cibernetiche, una volta sviluppate, sono molto difficili da preservare.

Le “armi” cibernetiche sono in realtà semplicemente programmi per computer che possono essere piratati come tutti gli altri. Poiché sono interamente costituiti da informazioni, possono essere copiati rapidamente senza alcun costo marginale.

Tenere al sicuro tali “armi” è particolarmente difficile perché le stesse persone che le sviluppano e le usano hanno le competenze per asportare copie senza lasciare tracce, a volte utilizzando le stesse “armi” contro le organizzazioni che le detengono. Ci sono considerevoli incentivi di prezzo perché pirati e consulenti governativi ottengano copie, poiché esiste un “mercato delle vulnerabilità” globale che pagherà da centinaia di migliaia a milioni di dollari per copie di tali “armi”. Analogamente appaltatori e aziende che ottengono tali “armi” a volte le usano per scopi propri, ottenendo vantaggi sui concorrenti nella vendita di servizi di “pirateria”.

Negli ultimi tre anni il settore statunitense dei servizi di spionaggio, composto da agenzie governative quali la CIA e la NSA e dai loro appaltatori, quali Booz Allan Hamilton, è stato soggetto a una serie senza precedenti di asportazioni di dati da parte dei suoi dipendenti.

Numerosi membri della comunità dello spionaggio, di cui non è ancora stato fatto pubblicamente il nome, sono stati arrestati o sottoposti a inchieste penali federali in incidenti separati.

Più visibilmente l’8 febbraio 2017 un gran giurì federale statunitense ha incriminato Harold T. Martin III per venti accuse di gestione impropria di informazioni classificate. Il Dipartimento della Giustizia ha affermato di aver sequestrato a Harold T. Martin III 50.000 gigabyte di informazioni che egli aveva ottenuto da programmi classificati presso la NSA e la CIA, compreso il codice sorgente di numerosi strumenti di pirateria.

Una volta che un’”arma” cibernetica è “sciolta” si può diffondere in tutto il mondo nel giro di secondi, per essere usata sia da altri stati, sia dalla mafia informatica e da pirati adolescenti.

 

Il Consolato USA di Francoforte è una base coperta di pirateria della CIA

Oltre alle sue attività a Langley, Virginia, la CIA utilizza anche il Consolato USA di Francoforte come base coperta per i suoi pirati che si occupano di Europa, Medio Oriente e Africa.

Ai pirati della CIA che operano fuori dal consolato di Francoforte (“Centro di Ciber-Spionaggio Europa” o CCIE) sono forniti passaporti diplomatici (“neri”) e copertura del Dipartimento di Stato. Le istruzioni per i pirati della CIA in ingresso fanno apparire irrilevanti gli sforzi del controspionaggio tedesco: “Attraversate facilmente la dogana tedesca perché avete la vostra storia di copertura preconfezionata e tutto quello che fanno è mettere un timbro sul vostro passaporto”.

La tua storia di copertura (per questo viaggio)

Domanda: Perché è qui?

Risposta: A supporto di consultazioni tecniche presso il Consolato

Due precedenti pubblicazioni di WikiLeaks offrono ulteriori dettagli sugli approcci della CIA alle dogane e sulle procedure nel caso di controlli ulteriori.

Una volta a Francoforte i pirati della CIA possono trasferirsi senza altri controlli di confine nei 25 paesi membri dell’area di libero movimento di Schengen, tra cui Francia, Italia e Svizzera.

Numerosi metodi di attacco elettronico della CIA sono progettati in funzione di una prossimità fisica. Tali metodi di attacco sono in grado di penetrare reti di alta sicurezza scollegate da Internet, come archivi della polizia. In questi casi un funzionario della CIA, un agente o un funzionario di un servizio di spionaggio alleato che agisce sotto istruzioni, infiltra fisicamente il luogo di lavoro. L’attaccante è provvisto di una USB che contiene codice maligno sviluppato per la CIA a questo scopo, che è inserita nel computer bersaglio. L’attaccante poi infetta ed estrae dati su dispositivi rimuovibili. Ad esempio il sistema di attacco della CIA Fine Dining fornisce 24 applicazioni esca per l’uso da parte di spie della CIA. Ai presenti la spia risulta far girare un programma che mostra video  (ad es. VLC), presentare diapositive (Prezi), giocare un videogame (Breakout2, 2048) o addirittura far girare un finto scanner di virus (Kaspersky, McAfee, Sophos). Ma mentre l’applicazione esca è sullo schermo, il sistema sottostante è automaticamente infettato e saccheggiato.

 

Come la CIA ha spettacolarmente aumentato i rischi di proliferazione

In quello che è certamente uno dei più stupefacenti autogol dello spionaggio a memoria d’uomo, la CIA ha strutturato il suo regime di classificazione in modo tale che per la parte più preziosa nel mercato del “Caveau 27” – il codice maligno aggressivo della CIA (impianti + zero day), le Postazioni d’Ascolto e i sistemi di Comando e Controllo (C2) – l’agenzia ha scarsa protezione legale.

La CIA ha reso non classificati tali sistemi.

Il motivo per il quale la CIA ha scelto di rendere non classificato il suo arsenale cibernetico rivela come concetti sviluppati per uso militare non attraversano agevolmente il “campo di battaglia” della “guerra” cibernetica.

Per attaccare i suoi bersagli la CIA ha normalmente bisogno che i suoi impianti comunichino con i loro programmi di controllo via Internet. Se il software degli impianti, di Comando e Controllo e delle Postazioni d’Ascolto della CIA fosse segretato, allora gli addetti della CIA potrebbero essere incriminati o licenziati per aver violato norme che vietano di inserire informazioni segrete su Internet. In conseguenza la CIA ha segretamente reso la maggior parte del suo codice spionistico/bellico cibernetico non classificato. Neppure il governo degli Stati Uniti può affermare un diritto d’autore a causa di restrizioni nella Costituzione statunitense. Questo significa che i produttori di “armi” cibernetiche e i pirati informatici possono liberamente “piratare” tali “armi” se riescono a ottenerle. La CIA ha dovuto principalmente affidarsi all’offuscamento per proteggere i segreti del suo codice maligno.

Le armi convenzionali, quali missili, possono essere lanciate contro il nemico (cioè contro un’area non protetta). La prossimità al bersaglio o il suo impatto con esso fanno detonare l’ordigno, comprese le sue parti segrete. Dunque il personale militare non viola le norme sulla segretezza lanciando ordigni con parti segretate. Probabilmente l’ordigno scoppierà. Se non lo farà, non sarà per intenzione dell’operatore.

Nell’ultimo decennio le operazioni di pirateria degli USA sono state sempre più rivestite di un gergo militare per attingere ai flussi di finanziamento del Dipartimento della Difesa. Ad esempio “iniezioni di codice [maligno]” (gergo commerciale) o “sgancio di impianti” (gergo della NSA) sono chiamati “tiri”, come se fosse fatta sparare un’arma. Tuttavia l’analogia è discutibile.

Diversamente dalle pallottole, dalle bombe o dai missili, la maggior parte del codice maligno della CIA è progettato per durare per giorni o persino anni dopo aver raggiunto il suo “bersaglio”. Il codice maligno della CIA non “esplode all’impatto” ma piuttosto infesta permanentemente il suo bersaglio. Al fine di infettare il dispositivo bersaglio, copie del codice maligno devono essere inserite nei dispositivi bersaglio, dando al bersaglio il possesso fisico del codice. Per ritrasmettere dai alla CIA o attendere ulteriori istruzioni il codice deve comunicare con i sistemi Comando e Controllo (C2) della CIA situati su server Internet collegati. Ma tali server normalmente non sono autorizzati a detenere informazioni classificate, dunque i sistemi di comando e controllo della CIA sono anch’essi resi non classificati.

Un “attacco” riuscito a un sistema di computer bersaglio è più simile a una serie complesse manovre azionarie in una scalata ostile o all’attenta diffusione di voci al fine di acquisire il controllo della dirigenza di un’organizzazione, piuttosto che al fuoco di un sistema di armamenti. Se c’è un’analogia militare da fare, l’infestazione di un bersaglio è forse simile all’esecuzione di un’intera serie di manovre militari contro il territorio bersaglio, comprese l’osservazione, l’infiltrazione, l’occupazione e lo sfruttamento.

 

Aggiramento delle indagini forensi e degli antivirus

Una serie di parametri espone gli schemi di infestazione dei codici maligni della CIA che hanno probabilità di assistere ad attribuire attacchi e a difendersi da essi investigatori forensi della scena del crimine nonché Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens e produttori di antivirus.

“Tradecraft DO’s and DON’Ts” [Cose da fare ed evitare nel ‘mestiere’] contiene le regole della CIA su come dovrebbe essere scritto il suo codice maligno in modo da evitare impronte che implichino la “CIA, il governo USA o i loro partner aziendali consapevoli” in “indagini forensi”. Simili standard segreti governano l’uso di crittografia per celare le comunicazioni piratesche e di codici maligni della CIA (pdf), la descrizione di bersagli & di dati asportati (pdf) nonché l’esecuzione di payload (pdf) e la permanenza (pdf) nel tempo nelle macchine bersaglio. I pirati della CIA hanno sviluppato attacchi riusciti contro i più noti programmi antivirus. Sono documentati in sconfitte di AV, di prodotti per la sicurezza personale (PSP), individuazione e sconfitta di PSP ed Elusione di PSP/debugger/RE. Ad esempio [l’antivirus] Comodo è stato sconfitto da codice maligno della CIA insediato in “Cestino” di Window. Mentre Comodo 6.x ha “una grossa falla in DOOM”.

I pirati della CIA hanno discusso in che cosa i pirati dell’”Equation Group” della NSA avevano sbagliato e come i produttori di codice maligno della CIA potevano evitare di farsi analogamente scoprire.

ESEMPI

Il sistema di gestione del Gruppo di Sviluppo Progettuale della CIA (EDG) contiene circa 500 progetti diversi (solo alcuni dei quali sono documentati da “Anno Zero”) ciascuno con i suoi sub-progetti, codici maligni e strumenti di pirateria.

La maggior parte di questi progetti è relativa a strumenti usati a fini di penetrazione, infestazione (“impianto”), controllo e asportazione.

Un altro gruppo di sviluppo si concentra sullo sviluppo e la gestione di sistemi di Postazioni d’Ascolto (LP) e di Comando e Controllo (C2) usati per comunicare con gli impianti della CIA e controllarli; progetti speciali sono utilizzati per attacchi a specifici dispositivi, dai router ai televisori intelligenti.

Alcuni progetti sono descritti di seguito, ma consultate l’indice dei contenuti per l’elenco completo dei progetti descritti da “Anno Zero” di WikiLeaks.

UMBRAGE

Le tecniche di pirateria costruite su misura dalla CIA pongono un problema all’agenzia. Ciascuna tecnica di cui dispone ha creato forme di “impronta” che possono essere utilizzate da investigatori forensi per attribuire una pluralità di attacchi alla stessa entità.

Ciò è analogo allo scoprire la stessa particolare ferita di coltello su numerose vittime distinte di omicidio. Lo stile unico della ferita determina il sospetto che ne sia responsabile un solo assassino. Non appena un omicidio tra i tanti è risolto, allora gli altri omicidi hanno probabilmente la stessa attribuzione.

Il gruppo UMBRAGE della Sezione Dispositivi Remoti della CIA raccoglie e gestisce una considerevole biblioteca di tecniche di attacco “rubate” da codici maligni prodotti in altri stati, tra cui la Federazione Russa.

Con UMBRAGE e progetti collegati la CIA non solo è in grato di accrescere il numero totale delle sue tecniche di attacco, ma anche di fuorviare le attribuzioni lasciandosi dietro le “impronte” dei gruppi ai quali sono state sottratte le tecniche.

Componenti di UMBRAGE comprendono keylogger, raccolta di password, cattura di webcam, distruzione di dati, permanenza, scalata di privilegi, infiltrazione, elusione di antivirus (PSP) e tecniche di sondaggio.

Fine Dining

Fine Dining si presenta accompagnato da un questionario standardizzato, cioè un menu che gli addetti ai casi della CIA completano. Il questionario è utilizzato dall’OSB (Sezione di Supporto Operativo) dell’agenzia per trasformare le richieste degli addetti ai casi in richieste tecniche di attacchi informatici (normalmente l’”esfiltrazione” di informazioni da sistemi informatici) per specifiche operazioni. Il questionario consente all’OSB di identificare come adattare all’operazione strumenti esistenti e di comunicare ciò al personale della CIA di configurazione dei codici maligni. L’OSB opera da interfaccia tra il personale operativo della CIA e il relativo personale di supporto tecnico.

Nella lista di possibili bersagli della raccolta ci sono “Risorsa”, “Risorsa di collegamento”, “Amministratore di sistema”, “Operazioni di spionaggio straniere”, “Agenzie di spionaggio straniere” e “Entità governative straniere”. Degna di nota è l’assenza di qualsiasi riferimento a estremisti o criminali transnazionali.  Al “responsabile del caso” è anche chiesto di precisare l’ambiente del bersaglio, come il tipo di computer, il sistema operativo usato, la connettività a Internet e gli antivirus (PSP) installati nonché una lista del genere di documenti da asportare, come documenti Office, audio, video, immagini o tipi di file personalizzati. Il ‘menu’ chiede anche di informare se è possibile un accesso ricorrente al bersaglio e quanto a lungo può essere mantenuto un accesso inosservato al computer. Queste informazioni sono utilizzate dal software ‘JQIMPROVISE’ (vedere di seguito) della CIA per configurare un insieme di codici maligni della CIA adatti alle necessità specifiche di un’operazione.

 

Improvise (JQIMPROVISE)

‘Improvise’ è un insieme di strumenti di selezione di configurazioni, post-processi, creazione di payload e vettori di esecuzione per strumenti di sondaggio/asportazione che supportano tutti i maggiori sistemi operativi come Windows (Bartender), MacOS (JukeBox) e Linux (DanceFloor). I suoi strumenti di configurazione, come Margarita, consentono al NOC (Centro Operazioni di Rete) di personalizzare gli strumenti sulla base delle richieste dei questionari di “Fine Dining”.

 

HIVE

HIVE è una suite multipiattaforma di codici maligni della CIA e del relativo software di controllo. Il progetto mette a disposizione impianti personalizzabili per Windows, Solaris, MikroTik (usato su router Internet) e piattaforme Linux e un’infrastruttura di Postazioni d’Ascolto (LP)/Comando e Controllo (C2) per comunicare con tali impianti.

Gli impianti sono configurati per comunicare via HTTPS con il server di un dominio sotto copertura; ciascuna operazione che utilizza questi impianti ha un dominio di copertura separato e l’infrastruttura può gestire qualsiasi numero di domini di copertura.

Ciascun dominio di copertura fa riferimento a un indirizzo IP situato presso un fornitore commerciale di VPS (Server Virtuale Privato). Il server di facciata trasmette tutto il traffico in entrata via VPN a un server ‘Tampone’ che gestisce le reali richieste di collegamento dei clienti. E’ creato per autenticazioni SSL opzionali dei clienti; se un cliente trasmette un certificato cliente valido (possono farlo solo gli impianti) il collegamento è fatto proseguire a un server ‘Honeycomb’ [favo] che comunica con l’impianto; se manca un certificato valido (il che avviene quando qualcuno cerca di aprire per sbaglio il sito del dominio di copertura) il traffico è inoltrato a un server di copertura che mostra un sito dall’apparenza non sospetta.

Il server Honeycomb riceve informazioni asportate dall’impianto; un operatore può anche incaricare l’impianto di eseguire attività sul computer bersaglio, cosicché il server agisce da server C2 (comando e controllo) per l’impianto.

Una funzionalità simile (anche se limitata a Windows) è offerta dal progetto RickBobby.

Vedere le guide classificate utente e sviluppatore di HIVE.

 

DOMANDE FREQUENTI

Perché ora?

WikiLeaks ha pubblicato non appena ha completato la verifica e l’analisi.

A febbraio l’amministrazione Trump ha emesso il Decreto Presidenziale che ha chiesto che sia preparata una revisione della “guerra cibernetica” entro trenta giorni.

Anche se tale revisione accresce la tempestività e la rilevanza della pubblicazione, essa non ha avuto un ruolo nel decidere la data di pubblicazione.

 

Interventi redazionali

Nomi, indirizzi email e indirizzi IP esterni sono stati obliterati nelle pagine pubblicate (70.875 interventi in totale) fino  quando non sarà completata un’ulteriore analisi.

  1. Iper-interventi: Possono essere state omesse alcune voci che non sono di dipendenti, appaltatori, bersagli o altrimenti collegati all’agenzia ma sono, per esempio, autori di documentazioni per progetti altrimenti pubblici utilizzati dall’agenzia.
  2. Identità e persona: I nomi obliterati sono sostituire da identificativi utente (ID) sotto forma di numeri per consentire ai lettori di assegnare pagine diverse a un solo autore. Considerato il tipo di intervento utilizzato una singola persona può essere rappresentata da più di un identificativo assegnato, ma nessun identificativo si riferisce a più di una persona reale.
  3. Allegati d’archivio (zip, tar.gz, …) sono sostituiti con un PDF che elenca tutti i nomi dei file nell’archivio. Quando il contenuto dell’archivio sarà valutato potrà essere reso disponibile; fino ad allora l’archivio è obliterato.
  4. Allegati con altro contenuto binario sono sostituiti da una vista esadecimale del contenuto per impedire l’attivazione accidentale di binari che possono essere stati infettati da codice maligno aggressivo della CIA. Quando il contenuto dell’archivio sarà valutato potrà essere reso disponibile; fino ad allora l’archivio è obliterato.
  5. Le decine di migliaia di rinvii a indirizzi IP contattabili (compresi più di 22.000 negli Stati Uniti) che corrispondono a possibili bersagli, server di postazioni d’ascolto sotto copertura della CIA, sistemi intermedi e di sperimentazione, sono obliterati per ulteriore indagine esclusiva.
  6. Documenti binari di origine non pubblica sono disponibile solo come viste esadecimali per evitare l’accidentale attivazione di codici binari infettati da codici maligni della CIA.

Diagramma organizzativo

Il diagramma organizzativo corrisponde al materiale pubblicato sin qui da WikiLeaks.

Poiché la struttura organizzativa della CIA sotto il livello delle Direzioni non è pubblica, la posizione dell’EDG e delle sue sezioni nel diagramma organizzativo dell’agenzia è ricostruita da informazioni contenute nei documenti pubblicati sinora. E’ mirata all’utilizzo come profilo grezzo dell’organizzazione interna; preghiamo di essere consapevoli che il diagramma organizzativo ricostruito è incompleto e che hanno frequentemente luogo riorganizzazioni interne.

 

Pagine Wiki

“Anno Zero” contiene 7.818 pagine web con 943 allegati dal software interno di sviluppo. Il software utilizzato a questo scopo si chiama Confluence, un software di proprietà di Atlassian. Le pagine web in questo sistema (come in Wikipedia) dispongono di uno storico di versione che può offrire interessanti idee su come un documento si è evoluto nel tempo; i 7.818 documenti includono queste pagine storiche per 1.136 versioni più recenti.

L’ordine delle pagine nominate in ciascun livello è determinato dalla data (per prima la più vecchia). Il contenuto della pagina non è presente se in origine creato dinamicamente dal software Confluence (come indicato sulla pagina ricostruita).

 

Quale arco di tempo è coperto?

Gli anni dal 2013 al 2016. L’ordine di presentazione delle pagine in ciascun livello è stabilito dalla data (per prima la più vecchia).

WikiLeaks ha ottenuto la data di creazione/ultima modifica della CIA per ciascuna pagina ma tali date non compaiono ancora per motivi tecnici. Solitamente la data può essere individuata, anche approssimativamente, dal contenuto e dall’ordine della pagina. Se è cruciale conoscere la data/ora esatta contattate WikiLeaks.

Che cos’è “Caveau 7”?

“Vault 7” è una considerevole raccolta di materiale sulle attività della CIA ottenuto da WikiLeaks.

Quando è stata ottenuta ciascuna parte di “Caveau 7”?

La parte uno è stata ottenuta recentemente e copre il 2016. Dettagli sulle altre parti saranno resi disponibili nel momento della pubblicazione.

Ciascuna parte di “Caveau 7” proviene da una fonte diversa?

Dettagli sulle altre parti saranno resi disponibili nel momento della pubblicazione.

Qual è la dimensione totale di “Caveau 7”?

La serie è la pubblicazione sullo spionaggio più vasta della storia.

Come ha fatto WikiLeaks a ottenere ciascuna parte di “Caveau 7”?

Le fonti si fidano che WikiLeaks non rivelerà informazioni che possano contribuire a identificarle.

WikiLeaks non si preoccupa che la CIA agisca contro il suo personale per fermare la serie?

No. Sarebbe certamente controproducente.

WikiLeaks ha già “scavato” gli articoli migliori?

No. Intenzionalmente WikiLeaks ha evitato di scrivere centinaia di articoli d’impatto e ciò per incoraggiare altri a scoprire il materiale e a creare competenza nell’area per le parti successive della serie. Il materiale è lì. Cercate. Coloro che dimostreranno eccellenza giornalistica potranno essere presi in considerazione per un accesso anticipato a parti future.

Altri giornalisti non troveranno le storie migliori prima di me?

Improbabile. C’è un numero di storie considerevolmente maggiore di quanti siano i giornalisti o gli accademici in grado di scriverne.

 

Da ZNetitaly – Lo spirito della resistenza è vivo

www.znetitaly.org

Originale: https://www.wikileaks.org/ciav7p1/#ANALYSIS

traduzione di Giuseppe Volpe

Traduzione © 2017 ZNET Italy – Licenza Creative Commons CC BY-NC-SA 3.0

 

 

Comments

comments

Powered by Facebook Comments

1 Commento »

  1. attilio cotroneo 12 marzo 2017 alle 01:15 -

    Le prossime frontiere della guerra saranno individuali e ognuno sarà impegnato nella difesa di se stessi

Follow

Get every new post delivered to your Inbox

Join other followers: