9 lis 2017

Wikileaks opublikowało dzisiaj kod źródłowy HIVE - platformy CIA do kontroli malware

1


Niemal dwa miesiące po wydaniu aż 23 różnych narzędzi CIA do hakowania w ramach serii o nazwie "Vault 7", portal Wikileaks ogłosił w dniu dzisiejszym nową serię: "Vault 8". Seria ta ma ujawnić kody źródłowe i inne informacje o infrastrukturze backendu opracowanej przez amerykańską agencję wywiadowczą CIA.

Wikileaks opublikowała pierwszą część wycieku Vault 8, wydając kod źródłowy i niejawną dokumentację projektu o nazwie HIVE. Jest to znaczący komponent, wykorzystywany przez agencję do zdalnej kontroli złośliwego oprogramowania. 


Już w kwietniu 2017 roku portal Wikileaks ujawnił krótką informację o tym projekcie, ujawniając, że projekt jest zaawansowanym serwerem kontrolującym i sterującym (system kontroli złośliwego oprogramowania), który komunikuje się ze złośliwym oprogramowaniem, wysyłając polecenia, aby wykonać określone zadania na docelowych obiektach i odbierać przechwycone informacje z hostów.

HIVE jest zatem wielozadaniowym system typu "all-in-one", który może być używany przez pracowników CIA do zdalnej kontroli wielu złośliwych "implantów" używanych w różnych operacjach. Infrastruktura HIVE została specjalnie zaprojektowana, aby korzystać m.in. z wielostopniowej komunikacji za pośrednictwem wirtualnej sieci prywatnej (VPN). Według Wikileaks: 
  
Nawet jeśli zostanie wykryty implant na docelowym komputerze, to przypisanie go do CIA jest trudne, patrząc tylko na komunikację szkodliwego oprogramowania z innymi serwerami w Internecie.

Uproszczony schemat platformy HIVE
źródło: thehackernews.com

Jak pokazano na powyższym diagramie, implanty złośliwego oprogramowania bezpośrednio komunikują się z fałszywą witryną, działającą na komercyjnym wirtualnym serwerze prywatnym (VPS) na platformie CentOS, który wygląda niewinnie, gdy jest otwierany bezpośrednio za pomocą przeglądarki internetowej. Pakiety są filtrowane za pomocą iptables i przekierowywane do odpowiednich serwerów za pomocą połączeń VPN, w tym do specjalnego, ukrytego serwera o nazwie "Blot". Serwer Blot przekazuje następnie ruch do bramki zarządzania implantem - "Honeycomb".

Tutaj ciekawostka! Aby uniknąć wykrycia przez administratorów sieci, implanty szkodliwego oprogramowania używają fałszywych certyfikatów dla... Kaspersky Lab (sic!):

Trzy przykłady zawarte w kodzie źródłowym tworzą fałszywy certyfikat dla rosyjskiej firmy antywirusowej Kaspersky Lab, udającej podpisanie go przez Thawte Premium Server CA.

Powyższy certyfikat został wystawiony 30 września 2010 roku i ważny jest  na okres 10 lat, czyli do września 2020 roku. W udostępnionych przez Wikileaks materiałach znaleźć można również klucze prywatne i inne certyfikaty w formacie PEM. Ponadto, przeczytać można o projekcie zwanym Switchblade, który działa jako specjalne proxy wykorzystywane przez CIA:


Switchblade is an authenticating proxy for operational use with with other proxy services such as Hive and Madison. Switchblade employs self-signed public key certificates in conjunction with open-source web server Nginx and Linux IP policy routing to pass authenticated data to a tool handler and unauthenticated data on to a cover server.

Jak pewnie zauważyliście, mowa jest także o projekcie MADISON, niestety dotychczas Wikileaks nie ujawniło żadnych szczegółów z nim związanych.

Kod źródłowy opublikowany w serii Vault 8 zawiera jedynie oprogramowanie przeznaczone do działania na serwerach kontrolowanych przez CIA, podczas gdy WikiLeaks zapewnia, że ​​organizacja nie ujawni żadnych luk w zabezpieczeniach typu 0-day lub podobnych, które mogłyby zostać wykorzystane.

Repozytorium platformy HIVE można przeglądać pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/

Wspominany fałszywy certyfikat można znaleźć pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/client/ssl/CA/ca_crt/

Materiały z serii Vault 8 dostępne są pod tym adresem:
https://wikileaks.org/vault8/

Źródło:
https://wikileaks.org/vault8
https://thehackernews.com

Czytaj więcej...

7 lip 2017

Gyrfalcon i BothanSpy - implanty CIA do wykradania poświadczeń SSH

0


W dniu wczorajszym, tj. 06.07.2017 r. portal WikiLeaks opublikował kolejną, piętnastą już serię wycieku oznaczonego jako Vault 7, prezentując materiały z 2013 i 2015 roku dotyczące dwóch narzędzi (implantów) CIA, które umożliwiają tej amerykańskiej agencji skuteczne przechwytywanie poświadczeń SSH (Secure Shell) - sieciowy protokół kryptograficzny używany do zdalnego logowania przez niezabezpieczoną sieć. CIA wykorzystuje różne wektory ataków, a docelowymi systemami operacyjnymi są te z rodziny Windows oraz Linux.

Czytaj więcej...

25 cze 2017

Emisja ujawniająca i przechwycenie klucza AES-256 w kilkanaście sekund

0

Każde urządzenie i obwód w którym płynie prąd staje się źródłem występowania zjawiska promieniowania elektromagnetycznego i ujawnia pewne informacje, które można odczytywać za pomocą odpowiedniej technologii i narzędzi. Odbiór, rejestracja i analiza promieniowania elektromagnetycznego, które generują możliwość odtworzenia informacji nazywamy zjawiskiem emisji ujawniającej (nazywanej także ulotem). Związek pomiędzy przepływem prądu a polem magnetycznym umożliwia odczytywanie sygnałów pola elektromagnetycznego, składających się z informacji takich jak bity i piksele, które są przesyłane jako ciąg impulsów o określonej częstotliwości. Warto wspomnieć, że zjawisko emisji ujawniającej i wykorzystanie jej do celów przechwycenia informacji zostało wykorzystane po raz pierwszy ponad 100 lat temu. W 1914 roku niemiecka armia zaczęła wykorzystywać wzmacniacze lampowe połączone z elektrodami sondującymi do podsłuchiwania sygnałów z telefonów polowych zza linii frontu. Obecnie promieniowanie z urządzeń komputerowych jest na tyle silne, że za pomocą specjalistycznego sprzętu sygnał może zostać odebrany w niektórych warunkach z odległości kilkuset metrów, nawet 1 kilometra. Urządzenia tego typu nie są ogólnodostępne, stosowane są natomiast m.in. przez szpiegów i są na tyle niewielkie, że mieszczą się w samochodzie osobowym.

Czytaj więcej...

8 cze 2017

Malware Zusy, które może infekować komputer przez najechanie myszką na link w PowerPoint

0

Odkryto nowy ciekawy sposób na instalację złośliwego oprogramowania poprzez pliki prezentacji Microsoft PowerPoint, bez wykorzystania mechanizmów makr, JavaScript i VBA. Dzięki zmodyfikowanej wersji malware Zusy, teraz wystarczy otworzyć zainfekowany plik PowerPoint i najechać myszką na link lub odpowiednio ukryty na slajdzie tekst (np. hiperłącze w kolorze tła). W analizowanym przez portal sentinel.com złośliwym pliku PowerPoint, po otwarciu wyświetla się biały slajd z niebieskim napisem, który jest hiperłączem. Po najechaniu wskaźnikiem myszki na napis Loading... Please wait, aby sprawdzić adres linku, automatycznie uruchamiany jest złośliwy kod xml. Co więcej, kod ten uruchamiany jest bez kliknięcia przez użytkownika w hiperłącze! 

Cyberprzestępcy efekt ten osiągnęli poprzez wykorzystanie kodu PowerShell podczas definicji akcji dla elementu hover. Akcja ta została skonfigurowana do wykonania programu w PowerPoint zawsze gdy tylko użytkownik najedzie myszką na link. Na szczęście w nowszych wersjach Microsoft PowerPoint: 2010 oraz 2013, przed wykonaniem złośliwego kodu domyślnie wyświetlany jest taki oto monit, informujący o potencjalnym niebezpieczeństwie:
Złośliwy slajd z widocznym komunikatem po najechaniu myszką na link
(źródło: www.sentinel.com)

Niemniej jednak przez pośpiech, nieczytanie wyświetlanych komunikatów, lenistwo itp. użytkownicy mogą włączyć złośliwy kod (ważną kwestią tutaj będzie na pewno odpowiedni element socjotechniczny). Uruchomiony poprzez najechanie na hiperłącze (bez kliknięcia) złośliwy kod napisany w xml łączy się z serwerem C&C:
  • http://cccn.nl/c.php
  • http://cccn.nl/2.2
  • 46.21.169.110
  • http://basisinkomen.nl/a.php 
Pozostałe rekordy DNS powiązane z powyższym adresem IP: LINK.

Uwaga!
Zaobserwowano rozsyłanie wiadomości e-mail ze szkodliwym plikiem z adresów w domenie .pl

Złośliwy kod xml, umieszczony w elemencie rId2 i ppt/slides/_rels/slide1.xml.rels wygląda tak:
Złośliwy kod xml z widocznym fragmentem wywołującym Powershell
(źródło: www.sentinel.com)
Fragment kodu z akcją wywołującą złośliwy kod
(źródło: www.dodgethissecurity.com)


Następnie, po połączeniu wykonywany jest kod z pliku c.php umieszczonego na serwerze i pobierany jest do folderu tymczasowego stacji roboczej złośliwy plik o nazwie ii.jse (JScript Encoded File), który jest wykonywany przez WScript. Jak się okazało złośliwy kod został napisany w czystym C i może być z sukcesem wykonany również na urządzeniach Mac. Ostatecznie tworzony jest złośliwy program z rozszerzeniem .exe.

Warto również dodać, iż na złośliwy kod tego typu odporny jest PowerPoint Viewer, ponieważ nie obsługuje on uruchamiania zewnętrznych programów.
 
Analiza VirusTotal złośliwego pliku:
 
Na obecną chwilę złośliwy plik wykrywa mniej niż połowa oprogramowania antywirusowego na rynku. Złośliwa prezentacja występuje w formie pliku z rozszerzeniem .ppsx

Więcej informacji w języku angielskim na temat tego ataku możecie przeczytać pod tym adresem:

Źródło:
https://www.sentinel.com 
https://www.dodgethissecurity.com
https://virustotal.com

Czytaj więcej...

6 cze 2017

Ewidencja operacyjna Służby Bezpieczeństwa / MSW

2

Służba Bezpieczeństwa powstała po przekształceniu Urzędu Bezpieczeństwa, tuż po odwilży 1956 roku, gdzie znalazła się w strukturze Ministerstwa Spraw Wewnętrznych (MSW) jako jeden z pionów. W rzeczywistości państwo masowego terroru zostało zastąpione państwem rozległej kontroli i prewencji oraz selektywnych represji. Oprócz zmian personalnych, które otworzyły młodej kadrze drogę awansu nastąpiły zmiany organizacyjne, opracowano i wprowadzono nowe instrukcje i przepisy dotyczące działań "nowej" służby. Prowadzenie ewidencji operacyjnej było ważną kwestią związaną z pracą funkcjonariusza SB. 

Czytaj więcej...

1 cze 2017

28 GB wrażliwych danych Departamentu Obrony USA udostępnione w... chmurze Amazon

0

Analityk ds. ryzyka cybernetycznego firmy UpGuard, Chris Vickery odkrył 22 maja 2017 r. ok. 60 000 plików z amerykańskiego projektu wojskowego dla National Geospatial-Intelligence Agency (NGA) udostępnionych na serwerze w publicznej chmurze S3 Bucket Amazon. Dane zawierały hasła do systemu rządowego Stanów Zjednoczonych zawierającego niejawne informacje oraz dane uwierzytelniające pracowników firmy... Booz Allen Hamilton, jednego z największych kontrahentów w dziedzinie obronności w USA - tej w której m.in. pracował Edward Snowden. Choć Chris Vickery nie znalazł żadnego pliku niejawnego, to dane zawierały m.in. poświadczenia logowania się do zasobów, które mogły takie informacje zawierać.

Czytaj więcej...

8 mar 2017

CIA i MI5 stworzyły narzędzie streamujące i nagrywające dźwięk ze Smart TV nawet jeśli jest on wyłączony

0

W dniu wczorajszym, tj. 07.03.2017 r. portal WikiLeaks upublicznił materiały amerykańskiej agencji wywiadowczej CIA (w tym niejawne dokumenty, narzędzia i kody źródłowe) w ramach akcji nazwanej "Vault 7". Wśród opublikowanych materiałów znaleźć można dokumenty i narzędzia wykorzystywane w sekcji podlegającej pod Center for Cyber Intelligence CIA (CCI CIA). Jednym z ciekawych narzędzi jest to zaprojektowane przez brytyjski kontrwywiad MI5 i stworzone przy współudziale z CIA. 

Czytaj więcej...

28 lut 2017

Archiwum SBU odtajniło notatki dotyczące działań KGB w Polsce

0


W ramach konferencji Trzy Rewolucje – Portrety Ukrainy (3R) w Kolegium Europejskim w Natolinie, dyrektor Archiwum SBU (Служба безпеки України - Służby Bezpieczeństwa Ukrainy), Andrij Kohut zaprezentował nieznane dotychczas dokumenty dotyczące działań KGB w Polsce i w Ukrainie, które mają duże znaczenie w badaniach nad końcem komunizmu i transformacją w Europie Środkowo-Wschodniej.




Upublicznione w dniu 26.02.2017 r. notatki sowieckich służb specjalnych zawierają m.in. informacje na temat:
  • wyboru Jana Pawła II na papieża,
  • wprowadzenia stanu wojennego w Polsce,
  • inwigilacji przez KGB środowiska polskich krótkofalowców,
  • transformacji na Ukrainie.
"Z dokumentów, które zostały upublicznione w ramach naszych badań dowiadujemy się na przykład, że służby sowieckie z niepokojem obserwowały wybór Jana Pawła II i że przewidywały skutki nowej polityki Papieża, miedzy innymi wpływ na aktywizacje środowisk grecko-katolickich i obywateli ukraińskich. Od początku monitorowały ten wpływ. Dokument, który służby przygotowały na ten temat jest jednym z bardzo rzadkich świadectw tego typu." – mówi Profesor Georges Mink, Profesor Kolegium Europejskiego w Natolinie, prezes w International Council for Central and East European Studies oraz emerytowany dyrektor ds. badań przy francuskim Centrum Badań Naukowych CNRS.

Odtajnione dokumenty Archiwum Służby Bezpieczeństwa Ukrainy są dostępne pod tymi adresami:

KGB o wprowadzeniu stanu wojennego w Polsce: LINK
KGB o wyborze Jana Pawła II na papieża: LINK
Inwigilacja KGB w PRL: LINK
Stosunek KGB do opozycji w przeddzień Rewolucji na Granicie: LINK
KGB o zwalczaniu ruchu oporu na Ukrainie w 1990 r.: LINK
KGB o ukraińskiej opozycji w grudniu 1990 r.: LINK
KGB do prezydenta Krawczuka o planach opozycji: LINK
Dyrektor KGB o rozwoju sytuacji na Ukrainie we wrześniu 1990 r.: LINK
Oryginał UKR (1): LINK
Oryginał UKR (2): LINK
Oryginał UKR (3): LINK
Oryginał UKR (4): LINK
Oryginał UKR (5): LINK
Oryginał UKR (6): LINK
Oryginał UKR (7): LINK
Oryginał UKR (8): LINK


Źródło:
http://www.3rnatolin.eu

Czytaj więcej...

17 lut 2017

Snowden jakiego nie znacie - od młodości po kontakt z rosyjskim wywiadem

7

Postać Edwarda Snowdena znana jest osobom, które interesują się bezpieczeństwem i służbami specjalnymi, a dodatkowo za sprawą mediów kojarzy się ona niemal każdemu. Chociaż minęło już trochę czasu od momentu, gdy opuścił on placówkę NSA na Hawajach i upublicznił niejawne materiały, to za sprawą odtajnienia 22 grudnia 2016 roku dokumentu Review of the Unauthorized Disclosures of Former National Security Agency Contractor Edward Snowden, postanowiliśmy przedstawić jego historię. Dokument ten, opracowany m.in. przez członków amerykańskiego Komitetu ds. Wywiadu, przedstawia Snowdena w złym świetle, czy słusznie?
 

Czytaj więcej...

29 sty 2017

Objaśnienia terminów ze zbioru zastrzeżonego IPN

0


Kilka dni temu na stronie internetowej IPN została opublikowana pierwsza część wykazu dokumentów, wyłączonych z byłego wyodrębnionego, tajnego zbioru w archiwum Instytutu. Wraz z opublikowaniem wykazu, Instytut Pamięci Narodowej na swojej stronie internetowej umieścił objaśnienia niektórych terminów źródłowych i skrótów, z którymi warto się zapoznać i które są bardzo pomocne przy pogłębianiu wiedzy na temat służb bezpieczeństwa PRL.

Czytaj więcej...

25 sty 2017

Aresztowanie menadżera Kaspersky Lab i wysokiego rangą oficera FSB ds. cyberbezpieczeństwa

0

Trzęsienie ziemi w rosyjskim cyberbezpieczeństwie. W dniu dzisiejszym, tj. 25.01.2017 r. rosyjskie media podały, iż zatrzymany został Rusłan Stojanow, który kierował w firmie Kaspersky Lab oddziałem ds. badania cyberprzestępstw. Oddział ten wg dziennika "Kommiersant" ściśle współpracował w 2013 roku z FSB i MSW Rosji m.in. w analizowaniu przestępstw informatycznych i ekspertyzach w sprawach karnych dotyczących tego rodzaju przestępstw.


Wcześniej Stojanow, a także jego podwładni z tego oddziału, pracowali do 2006 roku w moskiewskim departamencie MSW. Firma Kaspersky Lab potwierdziła zatrzymanie oraz zapewniła, że śledztwo prowadzone jest wobec osoby prywatnej i nie jest związane z firmą.

Kolejnym aresztowanym jest funkcjonariusz Siergiej Michajłow, wiceszef Centrum Bezpieczeństwa Informatycznego (CIB) Federalnej Służby Bezpieczeństwa. Źródła, na które powołuje się dziennik "Kommiersant", określają go jako jednego z najważniejszych funkcjonariuszy tego wydziału i osobę, która nieformalnie określa politykę całej branży cyberbezpieczeństwa. Ponadto, posiada on szeroką wiedzę na temat sieci Internet i
nieformalnie określa politykę w całej cyberprzestrzeni przemysłu i handlu elektronicznego w Federacji Rosyjskiej.
 
Rozmówcy dziennika, w tym źródło zbliżone do FSB, twierdzą, że wobec przedstawiciela CIB prowadzone jest śledztwo pod zarzutem naruszenia art. 275 rosyjskiego kodeksu karnego - dotyczącego podejrzenia o zdradę państwa. Według tych źródeł FSB sprawdza doniesienia, jakoby funkcjonariusz otrzymał pieniądze od zagranicznej instytucji za pośrednictwem pracownika firmy zajmującej się bezpieczeństwem IT.

Źródło:

Czytaj więcej...

24 sty 2017

IPN udostępnił wykaz dokumentów wyłączonych ze zbioru zastrzeżonego

0

Informujemy, iż decyzją Prezesa i Kolegium Instytutu Pamięci Narodowej w dniu dzisiejszym, czyli 24 stycznia 2017 r. na stronie internetowej IPN została opublikowana pierwsza część wykazu dokumentów, wyłączonych z byłego wyodrębnionego, tajnego zbioru w archiwum Instytutu. Wykaz obejmuje jednostki archiwalne, które wyłączono  w roku 2016 z magazynów, w których znajdował się dawny zbiór zastrzeżony. Sam udostępniony wykaz dokumentów ma 216 stron. W wyodrębnionym zbiorze znajdą się m.in. dokumenty komunistycznej bezpieki i innych służb specjalnych z tamtego okresu, które zostały przejęte i utajnione przez służby specjalne III RP. Przykładowo, pod pozycją IPN BU 003090/117 znajdziemy Instrukcję wywiadu NRF przekazaną przez pracownika BND Arnolda. W odtajnionych aktach mna także znaleźć informację np. o tym, iż oficerem łącznikowym płka Ryszarda Kuklińskiego z ramienia CIA była kobieta, która pracowała w placówce tych amerykańskich służb w Warszawie. Znajdą się również ciekawostki, takie jak opis metody badania powtórnego otwierania kopert z wykorzystaniem betaradiografii (IPN BU 003180/40).

Wykaz powstał na podstawie ewidencji (spisów i aneksów do spisów zdawczo-odbiorczych), dokumentującej procedurę przenoszenia materiałów ze zbioru wyodrębnionego do dostępnego zasobu archiwalnego IPN (zbioru ogólnego). Szczegółowy opis dokumentów z wykazu zostanie zamieszczony w aplikacji Cyfrowe Archiwum, dostępnej dla naukowców i dziennikarzy w każdej czytelni Instytutu Pamięci Narodowej.

Kolejne części wykazu akt byłego zbioru wyodrębnionego IPN będą publikowane na stronie internetowej IPN w ramach inwentarza archiwalnego:

http://inwentarz.ipn.gov.pl

Warto nadmienić, iż obecne służby mają do 15 czerwca 2017 r. czas na remanent w teczkach i ewentualne ponowne utajnienie części dokumentów.

Udostępnianie dokumentów zawartych w wykazie odbywać się będzie na zasadach określonych w przepisach ustawy z 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu.

Udostępniony wykaz można znaleźć pod tym adresem:
http://ipn.gov.pl/pl/form/65,Wykaz-dokumentow-bylego-zbioru-zastrzezonego.html


Źródło:
https://ipn.gov.pl/pl/aktualnosci/38456,Publikacja-wykazu-dokumentow-bylego-zbioru-zastrzezonego-24-stycznia-2017.html
http://inwentarz.ipn.gov.pl

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift