News Ticker

WikiLeaks: l'Imperial Project punta a macOS e *nix

Meno di un mese fa, WikiLeaks aveva pubblicato diversi documenti della CIA in cui venivano spiegato l'utilizzo di due malware, BothanSpy e Gyrfalcon, per tracciare e spiare le connessioni SSH, sia su Windows che su Linux.

La settimana scorsa sono trapelati nuovi tool, sempre parte di Vault 7, che prendono di mira macOS X e svariate versioni di Linux. Il progetto è classificato con il codename "Imperial" ed i manuali riguardano Achilles, SeaPea ed Aeris.

  • Achilles: questo tool permette di inserire in un immagine .dmg di macOS X del codice malevolo "one-shot": una volta eseguito, viene cancellato immediatamente dal sistema. Il tool è scritto in Bash ed è stato testato solo su OS X 10.6 Snow Leopard.
  • SeaPea: rootkit pensato sempre per gli utenti Mela, che si preoccupa di nascondere all'utente processi, connessioni e file. In caso di fallimenti multipli durante l'esecuzione (come kernel panic, ad esempio), il rootkit si autorimuove. SeaPea è gestito tramite una CLI e funziona su OS X 10.6 Snow Leopard e OS X 10.7 Lion.
  • Aeris: (sì, sembrerebbe un riferimento alla Aeris di FFVII) è invece un tool scritto in C che può essere utilizzato per creare una backdoor sui sistemi Debian 7, RHEL 6, Solaris 11, FreeBSD 8, CentOS 5.3 e 5.7. Il software fa affidamento anche a delle utility scritte in Python atte ad esfiltrare vari tipi di dati dal sistema; supporta i protocolli HTTPS, SMTP e TLS ed è compatibile con le specifiche crittografiche NOD (Network Operations Division Cryptographic Requirements). Aeris utilizza una struttura command and control, molto utilizzata sui sistemi Windows: ad ogni giro, il client, tramite una GET, scarica un payload che colleziona i dati che vengono poi uploadati tramite una POST. Aeris non richiede alcun tipo di installazione, è sufficiente piazzare il binary nella cartella desiderata.

Achilles e SeaPea fanno riferimento a versioni ormai datate di macOS e la minaccia non sembra particolarmente reale, ma per quanto riguarda Aeris? Girerebbe tranquillamente su una quantità spropositata di server ed aggeggi IoT...