WikiLeaks: l’Imperial Project punta a macOS e *nix

0

Meno di un mese fa, WikiLeaks aveva pubblicato diversi documenti della CIA in cui venivano spiegato l’utilizzo di due malware, BothanSpy e Gyrfalcon, per tracciare e spiare le connessioni SSH, sia su Windows che su Linux.

La settimana scorsa sono trapelati nuovi tool, sempre parte di Vault 7, che prendono di mira macOS X e svariate versioni di Linux. Il progetto è classificato con il codename “Imperial” ed i manuali riguardano Achilles, SeaPea ed Aeris.

  • Achilles: questo tool permette di inserire in un immagine .dmg di macOS X del codice malevolo “one-shot”: una volta eseguito, viene cancellato immediatamente dal sistema. Il tool è scritto in Bash ed è stato testato solo su OS X 10.6 Snow Leopard.
  • SeaPea: rootkit pensato sempre per gli utenti Mela, che si preoccupa di nascondere all’utente processi, connessioni e file. In caso di fallimenti multipli durante l’esecuzione (come kernel panic, ad esempio), il rootkit si autorimuove. SeaPea è gestito tramite una CLI e funziona su OS X 10.6 Snow Leopard e OS X 10.7 Lion.
  • Aeris: (sì, sembrerebbe un riferimento alla Aeris di FFVII) è invece un tool scritto in C che può essere utilizzato per creare una backdoor sui sistemi Debian 7, RHEL 6, Solaris 11, FreeBSD 8, CentOS 5.3 e 5.7. Il software fa affidamento anche a delle utility scritte in Python atte ad esfiltrare vari tipi di dati dal sistema; supporta i protocolli HTTPS, SMTP e TLS ed è compatibile con le specifiche crittografiche NOD (Network Operations Division Cryptographic Requirements). Aeris utilizza una struttura command and control, molto utilizzata sui sistemi Windows: ad ogni giro, il client, tramite una GET, scarica un payload che colleziona i dati che vengono poi uploadati tramite una POST. Aeris non richiede alcun tipo di installazione, è sufficiente piazzare il binary nella cartella desiderata.

Achilles e SeaPea fanno riferimento a versioni ormai datate di macOS e la minaccia non sembra particolarmente reale, ma per quanto riguarda Aeris? Girerebbe tranquillamente su una quantità spropositata di server ed aggeggi IoT…

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.