Esta é a revelação mais impressionante dos segredos obscuros da CIA na história, excedendo até mesmo o despejo de segredos da NSA de Edward Snowden. Ambos revelam a mentalidade dos Tecnocratas que acreditam que nenhum dado está fora dos limites para eles e que todos os dados essencialmente pertencem a eles para serem coletados. Eles querem visibilidade total de tudo e qualquer coisa que escolham para colocar seus olhos. Esta é uma história de leitura obrigatória. ⁃ TN Editor
Hoje, terça-feira, 7 de março de 2017, o WikiLeaks começa sua nova série de vazamentos na Agência Central de Inteligência dos EUA. Com o codinome de “Vault 7” pelo WikiLeaks, é a maior publicação de documentos confidenciais da agência já feita.
A primeira parte completa da série, “Ano Zero”, compreende 8,761 documentos e arquivos de uma rede isolada de alta segurança situada dentro do Centro de Inteligência Cibernética da CIA em Langley, Virgina. Segue-se uma divulgação introdutória no mês passado da CIA visando os partidos políticos e candidatos franceses na preparação para as eleições presidenciais de 2012.
Recentemente, a CIA perdeu o controle da maioria de seu arsenal de hackers, incluindo malware, vírus, trojans, exploits de “dia zero” como arma, sistemas de controle remoto de malware e documentação associada. Essa coleção extraordinária, que soma mais de várias centenas de milhões de linhas de código, dá ao seu possuidor toda a capacidade de hackear da CIA. O arquivo parece ter circulado entre ex-hackers e empreiteiros do governo dos Estados Unidos de maneira não autorizada, um dos quais forneceu ao WikiLeaks partes do arquivo.
"Year Zero" apresenta o escopo e a direção do programa de hacking secreto global da CIA, seu arsenal de malware e dezenas de exploits "dia zero" armados contra uma ampla gama de produtos de empresas dos Estados Unidos e da Europa, incluindo o iPhone da Apple, o Android do Google e o Windows da Microsoft e até mesmo TVs Samsung, que são transformadas em microfones secretos.
Desde 2001, a CIA ganhou preeminência política e orçamentária sobre a Agência de Segurança Nacional dos Estados Unidos (NSA). A CIA se viu construindo não apenas sua agora infame frota de drones, mas um tipo muito diferente de força secreta que se espalhava pelo globo - sua própria frota substancial de hackers. A divisão de hackers da agência a livrou de ter que divulgar suas operações muitas vezes controversas para a NSA (seu principal rival burocrático) a fim de aproveitar as capacidades de hackers da NSA.
No final de 2016, a divisão de hacking da CIA, que formalmente se enquadra no Center for Cyber Intelligence (CCI) da agência, tinha mais de 5000 usuários registrados e produziu mais de mil sistemas de hacking, trojans, vírus e outros malwares "armados" . Tal é a escala do empreendimento da CIA que, em 2016, seus hackers utilizaram mais código do que o usado para executar o Facebook. A CIA havia criado, com efeito, sua “própria NSA” com ainda menos responsabilidade e sem responder publicamente à pergunta se tal gasto orçamentário maciço na duplicação das capacidades de uma agência rival poderia ser justificado.
Em uma declaração ao WikiLeaks, a fonte detalha questões políticas que eles dizem que precisam ser debatidas em público com urgência, incluindo se as capacidades de hacking da CIA excedem seus poderes mandatados e o problema de supervisão pública da agência. A fonte deseja iniciar um debate público sobre a segurança, criação, uso, proliferação e controle democrático de armas cibernéticas.
Uma vez que uma única "arma" cibernética "solta", ela pode se espalhar pelo mundo em segundos, para ser usada por estados rivais, cibermáfia e hackers adolescentes.
Julian Assange, editor do WikiLeaks afirmou que “Há um risco extremo de proliferação no desenvolvimento de 'armas' cibernéticas. Podem ser feitas comparações entre a proliferação descontrolada de tais 'armas', que resulta da incapacidade de contê-las combinada com seu alto valor de mercado, e o comércio global de armas. Mas a importância do “Ano Zero” vai muito além da escolha entre a ciberguerra e a ciberpaz. A divulgação também é excepcional de uma perspectiva política, legal e forense. ”
O Wikileaks revisou cuidadosamente a divulgação do "Ano Zero" e publicou documentação substantiva da CIA, evitando a distribuição de armas cibernéticas 'armadas' até que um consenso surja sobre a natureza técnica e política do programa da CIA e como essas 'armas' devem ser analisadas, desarmadas e publicadas .
O Wikileaks também decidiu editar e tornar anônima algumas informações de identificação no “Ano Zero” para uma análise aprofundada. Essas redações incluem dezenas de milhares de alvos da CIA e máquinas de ataque em toda a América Latina, Europa e Estados Unidos. Embora estejamos cientes dos resultados imperfeitos de qualquer abordagem escolhida, continuamos comprometidos com nosso modelo de publicação e observamos que a quantidade de páginas publicadas no “Vault 7” parte um (“Ano Zero”) já supera o número total de páginas publicadas durante os primeiros três anos dos vazamentos de Edward Snowden NSA.
Análise
O malware da CIA tem como alvo iPhone, Android e TVs inteligentes
As ferramentas de malware e hacking da CIA são construídas pelo EDG (Engineering Development Group), um grupo de desenvolvimento de software dentro do CCI (Center for Cyber Intelligence), departamento pertencente à DDI (Direcção de Inovação Digital) da CIA. A DDI é uma das cinco principais diretorias da CIA (veja este organograma da CIA para mais detalhes).
O EDG é responsável pelo desenvolvimento, teste e suporte operacional de todas as backdoors, explorações, cargas maliciosas, cavalos de Troia, vírus e qualquer outro tipo de malware usado pela CIA em suas operações secretas em todo o mundo.
A sofisticação cada vez maior das técnicas de vigilância atraiu comparações com a de George Orwell em 1984, mas “Weeping Angel”, desenvolvida pela CIA Filial de dispositivos incorporados (EDB), que infesta as TVs inteligentes, transformando-as em microfones encobertos, é certamente a sua realização mais emblemática.
O ataque contra TVs inteligentes Samsung foi desenvolvido em cooperação com o MI5 / BTSS do Reino Unido. Após a infestação, o Weeping Angel coloca a TV alvo em um modo 'Fake-Off', para que o proprietário acredite erroneamente que a TV está desligada quando está ligada. No modo 'Fake-Off', a TV funciona como um bug, gravando conversas na sala e enviando-as pela Internet para um servidor secreto da CIA.
O Departamento de Dispositivos Móveis da CIA (MDB) desenvolvido inúmeros ataques para hackear e controlar remotamente smartphones populares. Os telefones infectados podem ser instruídos a enviar à CIA a geolocalização do usuário, comunicações de áudio e texto, bem como ativar secretamente a câmera e o microfone do telefone.
Apesar da participação minoritária do iPhone (14.5%) no mercado global de smartphones em 2016, uma unidade especializada no Departamento de Desenvolvimento Móvel da CIA produz malware para infestar, controlar e exfiltrar dados de iPhones e outros produtos Apple com iOS, como iPads. O arsenal da CIA inclui numerosos "dias zero" locais e remotos desenvolvido pela CIA ou obtido da GCHQ, NSA, FBI ou adquirido de empresas de armas cibernéticas, como a Baitshop. O foco desproporcional no iOS pode ser explicado pela popularidade do iPhone entre as elites sociais, políticas, diplomáticas e empresariais.
Essas técnicas permitem que a CIA contorne a criptografia de WhatsApp, Signal, Telegram, Wiebo, Confide e Cloackman, hackeando os telefones “inteligentes” nos quais eles funcionam e coletando áudio e tráfego de mensagens antes que a criptografia seja aplicada.
O malware da CIA tem como alvo roteadores Windows, OSx, Linux e
Muitos desses esforços de infecção são reunidos pela CIA'sRamo de implante automatizado (AIB), que desenvolveu diversos sistemas de ataque para infestação e controle automatizado de malware da CIA, como “Assassin” e “Medusa”.
A CIA desenvolveu sistemas automatizados de ataque e controle de malware multiplataforma cobrindo Windows, Mac OS X, Solaris, Linux e muito mais, como o “HIVE” da EDB e as ferramentas relacionadas “Cutthroat” e “Swindle”, que são descrito na seção de exemplos abaixo.
Vulnerabilidades 'acumuladas' da CIA (“zero dias”)
Na esteira dos vazamentos de Edward Snowden sobre a NSA, a indústria de tecnologia dos Estados Unidos garantiu um compromisso da administração Obama de que o executivo divulgaria continuamente - ao invés de acumular - vulnerabilidades graves, exploits, bugs ou "dia zero" para a Apple, Google, Microsoft e outros fabricantes baseados nos Estados Unidos.
As vulnerabilidades sérias não divulgadas aos fabricantes colocam enormes quantidades da população e infraestrutura crítica em risco para inteligência estrangeira ou criminosos cibernéticos que descobrem ou ouvem rumores sobre a vulnerabilidade. Se a CIA pode descobrir essas vulnerabilidades, os outros também.
O compromisso do governo dos EUA com o Processo de ações de vulnerabilidades veio após lobby significativo por empresas de tecnologia dos EUA, que correm o risco de perder sua participação no mercado global devido a vulnerabilidades ocultas reais e percebidas. O governo declarou que divulgaria todas as vulnerabilidades invasivas descobertas após o 2010 em uma base contínua.
Documentos do “Ano Zero” mostram que a CIA violou os compromissos do governo Obama. Muitas das vulnerabilidades usadas no arsenal cibernético da CIA são generalizadas e algumas podem já ter sido encontradas por agências de inteligência rivais ou criminosos cibernéticos.
Como exemplo, o malware específico da CIA revelado no “Year Zero” é capaz de penetrar, infestar e controlar o telefone Android e o software do iPhone que executa ou gerenciou contas presidenciais no Twitter. A CIA ataca este software usando vulnerabilidades de segurança não divulgadas (“zero dias”) possuídas pela CIA, mas se a CIA pode hackear esses telefones, então o mesmo pode acontecer com todas as outras pessoas que obtiveram ou descobriram a vulnerabilidade. Enquanto a CIA mantiver essas vulnerabilidades ocultas da Apple e do Google (que fazem os telefones), elas não serão consertadas e os telefones continuarão a ser hackeados.
As mesmas vulnerabilidades existem para a população em geral, incluindo o Gabinete, o Congresso, os principais CEOs, administradores de sistema, oficiais de segurança e engenheiros dos EUA. Ao ocultar essas falhas de segurança de fabricantes como Apple e Google, a CIA garante que pode hackear qualquer pessoa & mdsh; à custa de deixar todos hackeáveis.
Programas de 'Cyberwar' são um sério risco de proliferação
Não é possível manter as 'armas' cibernéticas sob controle eficaz.
Embora a proliferação nuclear tenha sido restringida pelos enormes custos e infraestrutura visível envolvidos na montagem de material físsil suficiente para produzir uma massa nuclear crítica, 'armas' cibernéticas, uma vez desenvolvidas, são muito difíceis de reter.
As "armas" cibernéticas são, na verdade, apenas programas de computador que podem ser pirateados como qualquer outro. Uma vez que são inteiramente compostos por informações, podem ser copiados rapidamente sem nenhum custo marginal.
Proteger essas 'armas' é particularmente difícil, uma vez que as mesmas pessoas que as desenvolvem e usam têm as habilidades para exfiltrar cópias sem deixar rastros - às vezes usando as mesmas 'armas' contra as organizações que as contêm. Existem incentivos de preço substanciais para que hackers e consultores governamentais obtenham cópias, uma vez que existe um “mercado de vulnerabilidade” global que pagará centenas de milhares a milhões de dólares por cópias de tais 'armas'. Da mesma forma, empreiteiros e empresas que obtêm tais 'armas' às vezes as usam para seus próprios fins, obtendo vantagem sobre seus concorrentes na venda de serviços de 'hacking'.
Nos últimos três anos, o setor de inteligência dos Estados Unidos, formado por agências governamentais como a CIA e NSA e seus contratados, como a Booze Allan Hamilton, foi sujeito a uma série sem precedentes de exfiltrações de dados por seus próprios funcionários.
Vários membros da comunidade de inteligência ainda não nomeados publicamente foram presos ou sujeitos a investigações criminais federais em incidentes separados.
O mais visível é que, em fevereiro, 8, 2017, um grande júri federal dos EUA indiciou Harold T. Martin III por conta de 20 por manipulação incorreta de informações classificadas. O Departamento de Justiça alegou que apreendeu alguns gigabytes de informações 50,000 de Harold T. Martin III que ele obteve de programas classificados na NSA e na CIA, incluindo o código-fonte de inúmeras ferramentas de hackers.
Uma vez que uma única 'arma' cibernética é 'solta', ela pode se espalhar pelo mundo em segundos, para ser usada por outros países, máfia cibernética e hackers adolescentes.
O Consulado dos EUA em Frankfurt é uma base secreta de hackers da CIA
Além de suas operações em Langley, Virgínia, a CIA também usa o consulado dos EUA em Frankfurt como base secreta para seus hackers que cobrem a Europa, o Oriente Médio e a África.
Os hackers da CIA que operam fora do consulado de Frankfurt ( “Center for Cyber Intelligence Europe” ou CCIE) recebem passaportes diplomáticos (“pretos”) e cobertura do Departamento de Estado. As instruções para novos hackers da CIA fazer com que os esforços de contra-inteligência da Alemanha pareçam inconseqüentes: "Breeze pela alfândega alemã porque você tem sua história de disfarce e tudo o que eles fizeram foi carimbar seu passaporte"
Sua história de capa (para esta viagem) Q: Porque está aqui? A: Apoio a consultas técnicas no Consulado.
Uma vez em Frankfurt, os hackers da CIA podem viajar sem mais verificações de fronteira para os países europeus 25 que fazem parte da área de fronteira aberta de Shengen - incluindo França, Itália e Suíça.
Vários métodos de ataque eletrônico da CIA são projetados para proximidade física. Esses métodos de ataque são capazes de penetrar em redes de alta segurança desconectadas da Internet, como banco de dados de registros policiais. Nestes casos, um oficial da CIA, agente ou oficial de inteligência aliado agindo sob instruções, se infiltra fisicamente no local de trabalho visado. O invasor recebe um malware contendo USB desenvolvido para a CIA para esse fim, que é inserido no computador de destino. O invasor então infecta e expulsa os dados para uma mídia removível. Por exemplo, o sistema de ataque da CIA fine Dining, fornece aplicativos de engodo 24 para espiões da CIA usarem. Para testemunhas, o espião parece estar executando um programa mostrando vídeos (por exemplo, VLC), apresentando slides (Prezi), jogando um jogo de computador (Breakout2, 2048) ou mesmo executando um antivírus falso (Kaspersky, McAfee, Sophos). Mas enquanto o aplicativo de engodo estiver na tela, o sistema subjacente é automaticamente infectado e saqueado.
Como a CIA aumentou dramaticamente os riscos de proliferação
No que é certamente um dos objetivos próprios de inteligência mais surpreendentes na memória viva, a CIA estruturou seu regime de classificação de forma que para a parte mais valiosa do mercado de "Vault 7" - o malware como arma da CIA (implantes + zero dias), Postagens de Escuta ( LP) e sistemas de Comando e Controle (C2) - a agência tem poucos recursos legais.
A CIA tornou esses sistemas não classificados.
Por que a CIA optou por tornar seu ciberarsenal não classificado revela como os conceitos desenvolvidos para uso militar não passam facilmente para o 'campo de batalha' da 'guerra' cibernética.
Para atacar seus alvos, a CIA geralmente exige que seus implantes se comuniquem com seus programas de controle pela Internet. Se os implantes da CIA, os softwares Command & Control e Listening Post fossem classificados, os oficiais da CIA poderiam ser processados ou demitidos por violar as regras que proíbem a colocação de informações confidenciais na Internet. Conseqüentemente, a CIA secretamente tornou a maior parte de seu código de guerra / espionagem cibernética não classificada. O governo dos EUA também não pode fazer valer os direitos autorais, devido a restrições da Constituição dos EUA. Isso significa que os fabricantes de 'armas' cibernéticas e os hackers de computador podem “piratear” livremente essas 'armas' se forem obtidas. A CIA teve que contar principalmente com a ofuscação para proteger seus segredos de malware.
Armas convencionais, como mísseis, podem ser disparadas contra o inimigo (ou seja, em uma área desprotegida). A proximidade ou impacto com o alvo detona o material bélico, incluindo suas peças classificadas. Conseqüentemente, os militares não violam as regras de classificação ao disparar artilharia com peças classificadas. Provavelmente, o material bélico explodirá. Se não, essa não é a intenção do operador.
Ao longo da última década, as operações de hackers dos EUA têm sido cada vez mais revestidas de jargão militar para aproveitar os fluxos de financiamento do Departamento de Defesa. Por exemplo, as tentativas de “injeções de malware” (jargão comercial) ou “gotas de implante” (jargão da NSA) estão sendo chamadas de “disparos” como se uma arma estivesse sendo disparada. No entanto, a analogia é questionável.
Ao contrário de balas, bombas ou mísseis, a maioria dos malwares da CIA é projetada para durar dias ou até anos depois de atingir seu 'alvo'. O malware da CIA não “explode com o impacto”, mas infesta permanentemente seu alvo. Para infectar o dispositivo do alvo, cópias do malware devem ser colocadas nos dispositivos do alvo, dando a posse física do malware ao alvo. Para exfiltrar dados de volta para a CIA ou para aguardar instruções adicionais, o malware deve se comunicar com os sistemas CIA Command & Control (C2) localizados em servidores conectados à Internet. Mas esses servidores normalmente não são aprovados para conter informações confidenciais, portanto, os sistemas de comando e controle da CIA também não são classificados.
Um 'ataque' bem-sucedido ao sistema de computador de um alvo é mais como uma série de complexas manobras de estoque em uma oferta de aquisição hostil ou o plantio cuidadoso de rumores a fim de obter controle sobre a liderança de uma organização, em vez do disparo de um sistema de armas. Se houver uma analogia militar a ser feita, a infestação de um alvo é talvez semelhante à execução de uma série de manobras militares contra o território do alvo, incluindo observação, infiltração, ocupação e exploração.
Evasão forense e antivírus
Uma série de padrões estabelece padrões de infestação de malware da CIA que provavelmente ajudarão os investigadores forenses, assim como as empresas Apple, Microsoft, Google, Samsung, Nokia, Nokia, Blackberry, Siemens e antivírus atribuem e se defendem contra ataques.
O sistema de gerenciamento do Grupo de Desenvolvimento de Engenharia (EDG) da CIA contém cerca de 500 projetos diferentes (apenas alguns dos quais são documentados pelo “Ano Zero”), cada um com seus próprios subprojetos, malware e ferramentas de hacker.
A maioria desses projetos está relacionada a ferramentas que são usadas para penetração, infestação (“implantação”), controle e exfiltração.
Outro ramo de desenvolvimento se concentra no desenvolvimento e operação dos sistemas de postos de escuta (LP) e de comando e controle (C2) usados para se comunicar e controlar os implantes da CIA; projetos especiais são usados para direcionar hardware específico, de roteadores a smart TVs.
Alguns exemplos de projetos são descritos abaixo, mas consulte o índice para obter a lista completa de projetos descritos pelo “Year Zero” do WikiLeaks.
UMBRAGE
As técnicas de hacking artesanais da CIA representam um problema para a agência. Cada técnica criada por ele forma uma “impressão digital” que pode ser usada por investigadores forenses para atribuir vários ataques diferentes à mesma entidade.
Isso é análogo a encontrar a mesma faca distinta em várias vítimas de assassinato separadas. O estilo único de ferir cria suspeita de que um único assassino é responsável. Assim que um assassinato é resolvido, os outros assassinatos também encontram uma provável atribuição.
Com o UMBRAGE e projetos relacionados, a CIA não só pode aumentar seu número total de tipos de ataque, mas também desviar a atribuição, deixando para trás as “impressões digitais” dos grupos dos quais as técnicas de ataque foram roubadas.
Os componentes do UMBRAGE abrangem keyloggers, coleta de senhas, captura de webcam, destruição de dados, persistência, escalonamento de privilégios, furtividade, prevenção de antivírus (PSP) e técnicas de pesquisa.
fine Dining
O Fine Dining vem com um questionário padronizado, ou seja, um menu que os agentes da CIA preenchem. O questionário é usado pelo OSB da agência (Ramo de Suporte Operacional) para transformar as solicitações dos oficiais do caso em requisitos técnicos para ataques de hackers (normalmente “exfiltrando” informações de sistemas de computador) para operações específicas. O questionário permite que o OSB identifique como adaptar as ferramentas existentes para a operação e comunique isso à equipe de configuração de malware da CIA. O OSB funciona como a interface entre a equipe operacional da CIA e a equipe de suporte técnico relevante.
Entre a lista de possíveis alvos da coleção estão 'Ativos', 'Ativos de ligação', 'Administrador do sistema', 'Operações de informações estrangeiras', 'Agências de Inteligência Estrangeiras' e 'Entidades Governamentais Estrangeiras'. Notavelmente ausente está qualquer referência a extremistas ou criminosos transnacionais. O 'Case Officer' também é solicitado a especificar o ambiente do alvo, como o tipo de computador, sistema operacional usado, conectividade com a Internet e utilitários antivírus instalados (PSPs), bem como uma lista de tipos de arquivo a serem exfiltrados como documentos do Office , áudio, vídeo, imagens ou tipos de arquivo personalizados. O 'menu' também pede informações se o acesso recorrente ao alvo é possível e por quanto tempo o acesso não observado ao computador pode ser mantido. Essas informações são usadas pelo software 'JQJIMPROVISE' da CIA (veja abaixo) para configurar um conjunto de malware da CIA adequado às necessidades específicas de uma operação.
Improvisar (JQJIMPROVISE)
'Improvise' é um conjunto de ferramentas para configuração, pós-processamento, configuração de carga útil e seleção de vetores de execução para ferramentas de pesquisa / exfiltração que suportam todos os principais sistemas operacionais como Windows (Bartender), MacOS (JukeBox) e Linux (DanceFloor). Seus utilitários de configuração, como o Margarita, permitem que o NOC (Network Operation Center) personalize as ferramentas com base nos requisitos dos questionários 'Fine Dining'.
HIVE
O HIVE é um conjunto de malware da CIA multiplataforma e seu software de controle associado. O projeto fornece implantes personalizáveis para plataformas Windows, Solaris, MikroTik (usadas em roteadores da Internet) e Linux e uma infraestrutura Listening Post (LP) / Comando e Controle (C2) para se comunicar com esses implantes.
Os implantes são configurados para se comunicar via HTTPS com o servidor da web de um domínio de cobertura; cada operação que utiliza esses implantes possui um domínio de cobertura separado e a infraestrutura pode lidar com qualquer número de domínios de cobertura.
Cada domínio de cobertura é resolvido para um endereço IP localizado em um provedor comercial de VPS (Virtual Private Server). O servidor voltado para o público encaminha todo o tráfego de entrada através de uma VPN para um servidor 'Blot' que lida com as solicitações de conexão reais dos clientes. Está configurado para autenticação opcional de cliente SSL: se um cliente enviar um certificado de cliente válido (apenas implantes podem fazer isso), a conexão é encaminhada para o servidor de ferramentas 'Honeycomb' que se comunica com o implante; se um certificado válido estiver faltando (que é o caso se alguém tentar abrir o site do domínio de cobertura por acidente), o tráfego é encaminhado para um servidor de cobertura que entrega um site de aparência suspeita.
O servidor de ferramentas Honeycomb recebe informações exfiltradas do implante; um operador também pode encarregar o implante de executar tarefas no computador de destino, para que o servidor de ferramentas atue como um servidor C2 (comando e controle) para o implante.
Funcionalidade semelhante (embora limitada ao Windows) é fornecida pelo projeto RickBobby.
O Signal App é produzido pela Open Whisper Systems, que é financiada pelo Open Technology Fund (maior financiador da Open Whisper Systems), que é um projeto do governo dos EUA (que também trabalhou em TOR e TAILS, acesso criptografado e sistema operacional).
wpDiscuz