image

WikiLeaks publiceert broncode communicatieplatform CIA-malware

vrijdag 10 november 2017, 09:44 door Redactie, 4 reacties

WikiLeaks heeft de broncode gepubliceerd van een platform dat de CIA gebruikt om te communiceren met computers die het met malware heeft geïnfecteerd. Het communicatieplatform heet Hive en wordt volgens WikiLeaks door de CIA gebruikt om data van systemen naar CIA-servers te sturen.

Ook kunnen CIA-agenten via Hive nieuwe opdrachten aan de malware geven. Hive doet dit op zo'n manier dat zelfs als de malware wordt ontdekt, die niet naar de CIA is te herleiden. Het platform kan meerdere systemen en malware-exemplaren tegelijkertijd ondersteunen. Voor elke operatie wordt een apart domein aangemaakt. De CIA huurt vervolgens bij een commerciële hostingprovider een VPS (virtual private server) die de domeinwebsite host.

Op deze website wordt 'onschuldige content' geplaatst, aldus WikiLeaks. Mocht het domein worden bezocht, dan zal een gebruiker niet vermoeden dat het in werkelijkheid om een CIA-domein gaat. Wat opvalt aan de webservers is dat die een niet veel gebruikte https-optie gebruiken genaamd Optional Client Authentication. Deze optie zorgt ervoor dat gebruikers zich niet hoeven te authenticeren. De CIA-malware die via Hive communiceert doet dit wel en kan zo via een vpn verbinding met een CIA-server genaamd Blot maken. De broncode van Hive is afkomstig uit Vault 7, een grote verzameling tools, exploits en documenten van de CIA die WikiLeaks in handen kreeg.

Image

Reacties (4)
10-11-2017, 10:25 door Anoniem
https://www.shodan.io/search?query=Optional+Client+Authentication

Hmmm, what do we have here
10-11-2017, 17:54 door Anoniem
Het rapport gaat verder met een voorbeeld :-)

Digital certificates for the authentication of implants are generated by the CIA impersonating existing entities. The three examples included in the source code build a fake certificate for the anti-virus company Kaspersky Laboratory, Moscow pretending to be signed by Thawte Premium Server CA, Cape Town. In this way, if the target organization looks at the network traffic coming out of its network, it is likely to misattribute the CIA exfiltration of data to uninvolved entities whose identities have been impersonated.

The documentation for Hive is available from the WikiLeaks Vault7 series.
13-11-2017, 09:52 door Anoniem
Door Anoniem: Het rapport gaat verder met een voorbeeld :-)

Digital certificates for the authentication of implants are generated by the CIA impersonating existing entities. The three examples included in the source code build a fake certificate for the anti-virus company Kaspersky Laboratory, Moscow pretending to be signed by Thawte Premium Server CA, Cape Town. In this way, if the target organization looks at the network traffic coming out of its network, it is likely to misattribute the CIA exfiltration of data to uninvolved entities whose identities have been impersonated.

The documentation for Hive is available from the WikiLeaks Vault7 series.

Dat voorbeeld lijkt wel erg veel op een excerpt van onze nieuwe WIV.
13-11-2017, 12:23 door VriendP
Mooi dat dit is gelekt. Geeft prima aan wie onze vrienden zijn en wie niet. Nu nog stoppen met achter de Amerikanen aan te lopen en starten met gezond verstand gebruiken en dan is er misschien nog hoop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.