Snowden II: révélation massive des outils de piratage de la CIA dans Wikileaks 'Vault 7'

Quartier général de la CIA, LangleyQuartier général de la CIA, Langley
S'il vous plaît partager cette histoire!

C'est la révélation la plus étonnante de sombres secrets de la CIA de l'histoire, dépassant même le dépotoir d'Edward Snowden de secrets de la NSA. Ces deux éléments révèlent l'état d'esprit des technocrates qui croient qu'aucune donnée n'est interdite pour eux et que toutes les données leur appartiennent essentiellement pour la prise. Ils veulent une visibilité totale sur tout ce qu'ils choisissent de regarder. C'est une histoire incontournable.  Éditeur TN

Aujourd'hui, mardi 7 mars 2017, WikiLeaks entame sa nouvelle série de fuites sur la Central Intelligence Agency américaine. Nommé «Vault 7» par WikiLeaks, il s'agit de la plus grande publication jamais réalisée de documents confidentiels sur l'agence.

La première partie complète de la série, «Year Zero», comprend 8,761 2012 documents et fichiers provenant d'un réseau isolé de haute sécurité situé à l'intérieur du Centre pour la cyber-intelligence de la CIA à Langley, en Virginie. Il fait suite à une divulgation introductive le mois dernier de la CIA visant les partis politiques et les candidats français dans la perspective de l'élection présidentielle de XNUMX.

Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de piratage, y compris les logiciels malveillants, les virus, les chevaux de Troie, les exploits «zero day» armés, les systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Cette collection extraordinaire, qui représente plus de plusieurs centaines de millions de lignes de code, donne à son possesseur toute la capacité de piratage de la CIA. L'archive semble avoir circulé parmi d'anciens pirates et sous-traitants du gouvernement américain de manière non autorisée, dont l'un a fourni à WikiLeaks des parties de l'archive.

«Year Zero» présente la portée et la direction du programme mondial de piratage secret de la CIA, son arsenal de logiciels malveillants et des dizaines d'exploits armés «zero day» contre un large éventail de produits de sociétés américaines et européennes, notamment l'iPhone d'Apple, l'Android de Google et Windows de Microsoft et même les téléviseurs Samsung, qui se transforment en microphones cachés.

Depuis 2001, la CIA a acquis une prééminence politique et budgétaire sur la National Security Agency (NSA) des États-Unis. La CIA s'est trouvée en train de construire non seulement sa flotte de drones désormais tristement célèbre, mais aussi un type très différent de force secrète couvrant le monde entier - sa propre flotte importante de pirates informatiques. La division de piratage de l'agence l'a libérée de l'obligation de divulguer ses opérations souvent controversées à la NSA (son principal rival bureaucratique) afin de tirer parti des capacités de piratage de la NSA.

À la fin de 2016, la division de piratage de la CIA, qui relève officiellement du Center for Cyber ​​Intelligence (CCI) de l'agence, comptait plus de 5000 utilisateurs enregistrés et avait produit plus d'un millier de systèmes de piratage, chevaux de Troie, virus et autres logiciels malveillants «militarisés». . Telle est l'ampleur de l'engagement de la CIA qu'en 2016, ses pirates informatiques avaient utilisé plus de code que celui utilisé pour faire fonctionner Facebook. La CIA avait créé, en effet, sa «propre NSA» avec encore moins de responsabilité et sans répondre publiquement à la question de savoir si une dépense budgétaire aussi massive pour dupliquer les capacités d'une agence rivale pouvait être justifiée.

Dans une déclaration à WikiLeaks, la source détaille les questions de politique qui, selon elle, doivent être débattues de toute urgence en public, notamment si les capacités de piratage de la CIA dépassent ses pouvoirs mandatés et le problème de la surveillance publique de l'agence. La source souhaite lancer un débat public sur la sécurité, la création, l'utilisation, la prolifération et le contrôle démocratique des cyberarmes.

Une fois qu'une seule cyber «arme» est «lâche», elle peut se propager dans le monde entier en quelques secondes, pour être utilisée par les États rivaux, la cyber mafia et les pirates chez les adolescents.

Julian Assange, rédacteur en chef de WikiLeaks, a déclaré: «Il existe un risque extrême de prolifération dans le développement de cyber 'armes'. Des comparaisons peuvent être faites entre la prolifération incontrôlée de ces «armes», qui résulte de l'incapacité de les contenir, combinée à leur valeur marchande élevée, et le commerce mondial des armes. Mais l'importance de «Year Zero» va bien au-delà du choix entre la cyberguerre et la cyber-paix. La divulgation est également exceptionnelle d’un point de vue politique, juridique et médico-légal. »

Wikileaks a soigneusement examiné la divulgation de «Year Zero» et publié des documents de fond de la CIA tout en évitant la distribution de cyberarmes «armées» jusqu'à ce qu'un consensus se dégage sur la nature technique et politique du programme de la CIA et sur la manière dont ces «armes» devraient être analysées, désarmées et publiées. .

Wikileaks a également décidé de rédiger et d'anonymiser certaines informations d'identification dans «Year Zero» pour une analyse approfondie. Ces expurgations comprennent des dizaines de milliers de cibles de la CIA et de machines d'attaque à travers l'Amérique latine, l'Europe et les États-Unis. Bien que nous soyons conscients des résultats imparfaits de toute approche choisie, nous restons attachés à notre modèle de publication et notons que la quantité de pages publiées dans la première partie de «Vault 7» («Year Zero») éclipse déjà le nombre total de pages publiées sur les trois premières années des fuites d'Edward Snowden NSA.

Analyses

Les programmes malveillants de la CIA ciblent les iPhone, Android et les téléviseurs intelligents

Les logiciels malveillants et les outils de piratage de la CIA sont construits par EDG (Engineering Development Group), un groupe de développement logiciel au sein de CCI (Center for Cyber ​​Intelligence), un département appartenant à la DDI (Direction de l'innovation numérique) de la CIA. La DDI est l'une des cinq grandes directions de la CIA (voir ce organigramme de la CIA pour plus de détails).

L’EDG est responsable du développement, des tests et du support opérationnel de toutes les portes dérobées, exploitations, charges utiles malveillantes, chevaux de Troie, virus et tout autre type de logiciel malveillant utilisé par la CIA dans le cadre de ses opérations secrètes dans le monde entier.

La sophistication croissante des techniques de surveillance a établi des comparaisons avec George Orwell 1984, mais «Weeping Angel», développé par la CIA Direction des périphériques intégrés (EDB), qui infeste les téléviseurs intelligents en les transformant en microphones discrets, est certainement sa réalisation la plus emblématique.

L'attaque contre Téléviseurs intelligents Samsung a été développé en coopération avec le MI5 / BTSS du Royaume-Uni. Après l'infestation, Weeping Angel place le téléviseur cible en mode `` Fake-Off '', de sorte que le propriétaire pense à tort que le téléviseur est éteint lorsqu'il est allumé. En mode «Fake-Off», le téléviseur fonctionne comme un bug, enregistrant les conversations dans la pièce et les envoyant sur Internet à un serveur CIA secret.

En octobre 2014, la CIA examinait également infecter les systèmes de contrôle des véhicules utilisés par les voitures et les camions modernes. L'objectif de ce contrôle n'est pas précisé, mais il permettrait à la CIA de se livrer à des assassinats quasi indétectables.

La Direction des appareils mobiles (MDB) de la CIA a développé nombreuses attaques pour pirater et contrôler à distance des téléphones intelligents populaires. Les téléphones infectés peuvent recevoir l'instruction d'envoyer à la CIA la géolocalisation, les communications audio et textuelles de l'utilisateur, ainsi que d'activer secrètement la caméra et le microphone du téléphone.

Malgré la part minoritaire de l'iPhone (14.5%) sur le marché mondial des téléphones intelligents en 2016, une unité spécialisée de la branche de développement mobile de la CIA produit des logiciels malveillants pour infester, contrôler et exfiltrer les données de iPhones et autres produits Apple exécutant iOS, tels que les iPad. L'arsenal de la CIA comprend de nombreux «jours zéro» locaux et éloignés développé par la CIA ou obtenu auprès du GCHQ, de la NSA, du FBI ou acheté auprès de cyberentrepreneurs en armement tels que Baitshop. L’attention disproportionnée portée à iOS peut s’expliquer par la popularité de l’iPhone parmi les élites sociales, politiques, diplomatiques et commerciales.

A Une unité similaire cible l'Android de Google qui est utilisé pour exécuter la majorité des téléphones intelligents du monde (~ 85%), y compris Samsung, HTC et Sony. 1.15 milliard de téléphones Android ont été vendus l'année dernière. «Year Zero» indique qu'à partir de 2016 la CIA avait 24 Android «militarisés» «zéro jour» qu’elle a elle-même développée et obtenue de GCHQ, de la NSA et d’entrepreneurs en cyberarmes.

Ces techniques permettent à la CIA de contourner le cryptage de WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman en piratant les téléphones «intelligents» sur lesquels ils fonctionnent et en collectant le trafic audio et de messages avant d'appliquer le cryptage.

Les programmes malveillants de la CIA ciblent Windows, OSx, Linux et les routeurs

La CIA mène également un effort très important pour infecter et contrôlerUtilisateurs Microsoft Windows avec son malware. Cela comprend plusieurs virus «zéro jour» armés locaux et distants, tels que "Marteau perforateur" qui infecte les logiciels distribués sur CD / DVD, Infecteurs pour supports amovibles tels que les clés USB, systèmes pour masquer les données dans les images ou dans des zones de disque cachées ( «Kangourou brutal») et à garder ses infestations de logiciels malveillants en cours.

Beaucoup de ces efforts d'infection sont rassemblés par la CIABranche d'implant automatisée (AIB), qui a développé plusieurs systèmes d'attaque pour l'infestation automatisée et le contrôle des logiciels malveillants de la CIA, tels que «Assassin» et «Medusa».

Les attaques contre l'infrastructure Internet et les serveurs Web sont développées par la CIA Direction des périphériques réseau (NDB).

La CIA a développé des systèmes automatisés d'attaque et de contrôle de logiciels malveillants multi-plateformes couvrant Windows, Mac OS X, Solaris, Linux et plus, tels que «HIVE» d'EDB et les outils associés «Cutthroat» et «Swindle», qui sont décrit dans la section exemples ci-dessous.

Vulnérabilités «thésaurisées» par la CIA («zéro jour»)

À la suite des fuites d'Edward Snowden sur la NSA, l'industrie technologique américaine a obtenu un engagement de l'administration Obama que l'exécutif divulguerait de manière continue - plutôt que de thésauriser - de graves vulnérabilités, exploits, bogues ou «jours zéro» à Apple, Google, Microsoft et d'autres fabricants basés aux États-Unis.

De graves vulnérabilités non révélées aux fabricants exposent d'énormes masses de la population et des infrastructures critiques aux services de renseignements étrangers ou aux cybercriminels qui découvrent ou entendent de manière indépendante des rumeurs sur la vulnérabilité. Si la CIA peut découvrir de telles vulnérabilités, il en va de même pour les autres.

L'engagement du gouvernement américain envers la Vulnerabilities Equities Process intervient après un important lobbying de sociétés technologiques américaines, qui risquent de perdre leur part du marché mondial face à des vulnérabilités cachées réelles et perçues. Le gouvernement a déclaré qu'il divulguerait toutes les vulnérabilités généralisées découvertes après 2010 de manière continue.

Les documents «Year Zero» montrent que la CIA a violé les engagements de l'administration Obama. Bon nombre des vulnérabilités utilisées dans le cyberarsenal de la CIA sont omniprésentes et certaines ont peut-être déjà été découvertes par des agences de renseignement rivales ou des cybercriminels.

Par exemple, un logiciel malveillant spécifique de la CIA révélé dans «Year Zero» est capable de pénétrer, infester et contrôler à la fois le téléphone Android et le logiciel iPhone qui exécute ou a géré des comptes Twitter présidentiels. La CIA attaque ce logiciel en utilisant des vulnérabilités de sécurité non divulguées («zéro jour») possédées par la CIA, mais si la CIA peut pirater ces téléphones, alors tout le monde qui a obtenu ou découvert la vulnérabilité peut le faire. Tant que la CIA gardera ces vulnérabilités cachées à Apple et Google (qui fabriquent les téléphones), elles ne seront pas corrigées et les téléphones resteront piratables.

Les mêmes vulnérabilités existent pour l'ensemble de la population, y compris le Cabinet américain, le Congrès, les principaux PDG, les administrateurs système, les responsables de la sécurité et les ingénieurs. En cachant ces failles de sécurité aux fabricants comme Apple et Google, la CIA s'assure qu'elle peut pirater tout le monde & mdsh; au détriment de laisser tout le monde piratable.

Les programmes de `` cyberguerre '' représentent un risque sérieux de prolifération

Les cyber «armes» ne peuvent pas être contrôlées efficacement.

Alors que la prolifération nucléaire a été limitée par les coûts énormes et les infrastructures visibles impliquées dans l'assemblage de suffisamment de matières fissiles pour produire une masse nucléaire critique, les cyber «armes», une fois développées, sont très difficiles à conserver.

Les cyber «armes» ne sont en fait que des programmes informatiques qui peuvent être piratés comme les autres. Comme ils sont entièrement composés d'informations, ils peuvent être copiés rapidement sans coût marginal.

Obtenir de telles «armes» est particulièrement difficile car les mêmes personnes qui les développent et les utilisent ont les compétences nécessaires pour exfiltrer des copies sans laisser de traces - parfois en utilisant les mêmes «armes» contre les organisations qui les contiennent. Il existe des prix incitatifs substantiels pour les pirates informatiques et les consultants du gouvernement pour obtenir des copies car il existe un «marché de la vulnérabilité» mondial qui paiera des centaines de milliers à des millions de dollars pour des copies de ces «armes». De même, les entrepreneurs et les entreprises qui se procurent de telles «armes» les utilisent parfois à leurs propres fins, obtenant un avantage sur leurs concurrents en vendant des services de «piratage».

Au cours des trois dernières années, le secteur du renseignement américain, composé d'agences gouvernementales telles que la CIA et la NSA, et leurs sous-traitants, tels que Booze Allan Hamilton, a été soumis à une série d'exfiltrations de données sans précédent par ses propres travailleurs.

Un certain nombre de membres de la communauté du renseignement qui ne sont pas encore nommés publiquement ont été arrêtés ou font l'objet d'enquêtes criminelles fédérales lors d'incidents distincts.

Plus visiblement, en février 8, 2017, un grand jury fédéral américain, a inculpé Harold T. Martin III de chefs 20 de manipulation erronée d'informations classifiées. Le ministère de la Justice a affirmé avoir saisi quelques gigaoctets d'informations 50,000 provenant de programmes classifiés de la NSA et de la CIA provenant de Harold T. Martin III, y compris le code source de nombreux outils de piratage.

Une fois qu'une seule cyber «arme» est «lâche», elle peut se propager dans le monde entier en quelques secondes, pour être utilisée par les États pairs, la cyber mafia et les pirates adolescents.

Le consulat des États-Unis à Francfort est une base secrète de hackers de la CIA

En plus de ses opérations à Langley, en Virginie, la CIA utilise également le consulat des États-Unis à Francfort comme base secrète pour ses pirates informatiques couvrant l’Europe, le Moyen-Orient et l’Afrique.

Les pirates informatiques de la CIA opérant hors du consulat de Francfort ( «Centre pour Cyber ​​Intelligence Europe» ou CCIE) reçoivent des passeports diplomatiques («noirs») et une couverture du Département d’État. Les instructions pour les pirates de la CIA entrants faire en sorte que les efforts de contre-espionnage de l'Allemagne semblent sans importance: «Passez rapidement aux douanes allemandes parce que vous avez votre histoire de couverture pour l'action, et tout ce qu'ils ont fait, c'est tamponner votre passeport»

Votre histoire de couverture (pour ce voyage)
Q: Pourquoi es-tu ici?
A: Assistance aux consultations techniques au consulat.

Deux publications antérieures de WikiLeaks donnent plus de détails sur les approches de la CIA en matière de douane et notre procédures de dépistage secondaires.

Une fois à Francfort, les pirates informatiques de la CIA peuvent se rendre sans contrôle supplémentaire aux pays européens 25 qui font partie de la zone frontalière ouverte de Shengen - y compris la France, l’Italie et la Suisse.

Un certain nombre de méthodes d'attaque électronique de la CIA sont conçues pour la proximité physique. Ces méthodes d'attaque sont capables de pénétrer les réseaux de haute sécurité qui sont déconnectés d'Internet, comme la base de données des dossiers de police. Dans ces cas, un officier de la CIA, un agent ou un officier du renseignement allié agissant sur instruction, s'infiltre physiquement dans le lieu de travail ciblé. L'attaquant est équipé d'une clé USB contenant un malware développé pour la CIA à cet effet, qui est insérée dans l'ordinateur ciblé. L'attaquant infecte et exfiltre ensuite les données sur un support amovible. Par exemple, le système d'attaque de la CIA fine Dining, fournit des applications de leurre 24 aux espions de la CIA. Pour les témoins, l'espion semble exécuter un programme montrant des vidéos (par exemple, VLC), des diapositives (Prezi), un jeu vidéo (Breakout2, 2048) ou même un faux scanner de virus (Kaspersky, McAfee, Sophos). Mais lorsque l’application leurre est affichée à l’écran, le système sous-jacent est automatiquement infecté et saccagé.

Comment la CIA a considérablement augmenté les risques de prolifération

Dans ce qui est sûrement l'un des objectifs personnels les plus étonnants de mémoire d'homme, la CIA a structuré son régime de classification de telle sorte que pour la partie la plus précieuse du marché de «Vault 7» - le malware armé de la CIA (implants + zéro jour), Listening Posts ( LP) et les systèmes de commandement et de contrôle (C2) - l'agence dispose de peu de recours juridiques.

La CIA a rendu ces systèmes non classifiés.

La raison pour laquelle la CIA a choisi de rendre son cyberarsenal non classifié révèle comment les concepts développés pour un usage militaire ne se croisent pas facilement sur le «champ de bataille» de la cyber «guerre».

Pour attaquer ses cibles, la CIA exige généralement que ses implants communiquent avec leurs programmes de contrôle sur Internet. Si les implants de la CIA, les logiciels de commande et de contrôle et de poste d'écoute étaient classifiés, les agents de la CIA pourraient être poursuivis ou renvoyés pour avoir enfreint les règles qui interdisent de placer des informations classifiées sur Internet. Par conséquent, la CIA a secrètement rendu la plupart de son code de cyberespionnage / guerre non classifié. Le gouvernement américain n'est pas non plus en mesure de faire valoir le droit d'auteur, en raison des restrictions de la Constitution américaine. Cela signifie que les fabricants d'armes cyber et les pirates informatiques peuvent librement «pirater» ces «armes» si elles sont obtenues. La CIA a principalement dû s'appuyer sur l'obfuscation pour protéger ses secrets de malwares.

Les armes classiques telles que les missiles peuvent être tirées sur l'ennemi (c'est-à-dire dans une zone non sécurisée). La proximité ou l'impact avec la cible fait exploser l'engin, y compris ses parties classifiées. Par conséquent, le personnel militaire ne viole pas les règles de classification en tirant des munitions avec des pièces classifiées. Les munitions exploseront probablement. Si ce n'est pas le cas, ce n'est pas l'intention de l'opérateur.

Au cours de la dernière décennie, les opérations de piratage américaines ont été de plus en plus habillées dans le jargon militaire pour puiser dans les flux de financement du ministère de la Défense. Par exemple, les tentatives d '«injections de logiciels malveillants» (jargon commercial) ou de «gouttes d'implant» (jargon NSA) sont appelées «incendies» comme si une arme était tirée. Cependant, l'analogie est discutable.

Contrairement aux balles, bombes ou missiles, la plupart des logiciels malveillants de la CIA sont conçus pour vivre des jours voire des années après avoir atteint leur «cible». Les logiciels malveillants de la CIA «n'explosent pas à l'impact», mais infestent de façon permanente leur cible. Afin d'infecter l'appareil de la cible, des copies du malware doivent être placées sur les appareils de la cible, donnant ainsi la possession physique du malware à la cible. Pour exfiltrer les données vers la CIA ou pour attendre des instructions supplémentaires, le malware doit communiquer avec les systèmes CIA Command & Control (C2) placés sur des serveurs connectés à Internet. Mais ces serveurs ne sont généralement pas approuvés pour contenir des informations classifiées, de sorte que les systèmes de commande et de contrôle de la CIA sont également rendus non classés.

Une `` attaque '' réussie sur le système informatique d'une cible ressemble plus à une série de manœuvres de stock complexes dans une offre publique d'achat hostile ou à la diffusion prudente de rumeurs afin de prendre le contrôle du leadership d'une organisation plutôt qu'à la mise à feu d'un système d'armes. S'il y a une analogie militaire à faire, l'infestation d'une cible s'apparente peut-être à l'exécution de toute une série de manœuvres militaires contre le territoire de la cible comprenant l'observation, l'infiltration, l'occupation et l'exploitation.

Évasion de la médecine légale et anti-virus

Une série de normes définissent les schémas d’infestation par les logiciels malveillants de la CIA susceptibles d’aider les enquêteurs judiciaires, ainsi que les sociétés Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens et les sociétés antivirus attribuent et protègent contre les attaques.

«Tradecraft à faire et à ne pas faire» contient les règles de la CIA sur la façon dont ses logiciels malveillants doivent être écrits pour éviter les empreintes digitales impliquant la «CIA, le gouvernement américain ou ses sociétés partenaires intelligentes» dans un «examen judiciaire». Des normes secrètes similaires couvrent utilisation du cryptage pour masquer les communications des hackers et des programmes malveillants de la CIA (pdf), décrire les cibles et les données exfiltrées (pdf) ainsi que exécution de charges utiles (pdf) et persistant (pdf) dans les machines de la cible au fil du temps.

Les pirates informatiques de la CIA ont développé des attaques efficaces contre la plupart des programmes antivirus bien connus. Ceux-ci sont documentés dans Défaites AV, Produits de sécurité personnelle, Détecter et vaincre les PSP et notreEvitement PSP / Debugger / RE. Par exemple, Comodo a été vaincu par Logiciel malveillant de la CIA se plaçant dans la «Corbeille» de Windows. Alors que Comodo 6.x a un «Trou béant de DOOM».

Les pirates de la CIA ont discuté de ce que les pirates de la NSA «Equation Group» ont fait de mal et comment les fabricants de logiciels malveillants de la CIA pourraient éviter une exposition similaire.

Exemples

Le système de gestion de l'EDG (Engineering Development Group) de la CIA contient environ 500 projets différents (dont certains seulement sont documentés par «Year Zero»), chacun avec ses propres sous-projets, logiciels malveillants et outils de piratage.

La majorité de ces projets concernent des outils utilisés pour la pénétration, l'infestation («implantation»), le contrôle et l'exfiltration.

Une autre branche de développement se concentre sur le développement et l'exploitation des systèmes d'écoute d'écoute (LP) et de commandement et contrôle (C2) utilisés pour communiquer avec et contrôler les implants CIA; des projets spéciaux sont utilisés pour cibler du matériel spécifique, des routeurs aux téléviseurs intelligents.

Quelques exemples de projets sont décrits ci-dessous, mais voir la table des matières pour la liste complète des projets décrits par «Year Zero» de WikiLeaks.

OMBRAGE

Les techniques de piratage artisanales de la CIA posent un problème pour l'agence. Chaque technique qu'il a créée forme une «empreinte digitale» qui peut être utilisée par les enquêteurs légistes pour attribuer plusieurs attaques différentes à la même entité.

Ceci est analogue à la découverte de la même blessure au couteau distincte sur plusieurs victimes de meurtre distinctes. Le style unique blessant crée la suspicion qu'un seul meurtrier est responsable. Dès qu'un meurtre du groupe est résolu, les autres meurtres ont également une imputation probable.

La CIA Branche de périphériques distants's Groupe UMBRAGE recueille et maintient une bibliothèque substantielle des techniques d'attaque «volées» à des logiciels malveillants produits dans d'autres États, dont la Fédération de Russie.

Avec UMBRAGE et les projets associés, la CIA peut non seulement augmenter son nombre total de types d'attaques, mais aussi des attributions erronées en laissant derrière elle les «empreintes» des groupes auxquels les techniques d'attaque ont été volées.

Les composants UMBRAGE couvrent les enregistreurs de frappe, la collecte de mots de passe, la capture de webcam, la destruction de données, la persistance, l'élévation de privilèges, la furtivité, l'évitement d'antivirus (PSP) et les techniques d'enquête.

fine Dining

Fine Dining est livré avec un questionnaire standardisé, c'est-à-dire un menu que les agents de la CIA remplissent. Le questionnaire est utilisé par le BSF de l'agence (Direction du soutien opérationnel) pour transformer les demandes des agents chargés du dossier en exigences techniques pour les attaques de piratage (généralement des informations «exfiltrant» des systèmes informatiques) pour des opérations spécifiques. Le questionnaire permet à l'OSB d'identifier comment adapter les outils existants pour l'opération et de le communiquer au personnel de configuration des logiciels malveillants de la CIA. Le BSF sert d'interface entre le personnel opérationnel de la CIA et le personnel de soutien technique concerné.

Parmi la liste des cibles possibles de la collection figurent «Actif», «Actif de liaison», «Administrateur système», «Opérations d'information étrangères», «Agences de renseignement étrangères» et «Entités gouvernementales étrangères». Il n'y a aucune référence aux extrémistes ou aux criminels transnationaux. Le `` responsable des cas '' est également invité à spécifier l'environnement de la cible comme le type d'ordinateur, le système d'exploitation utilisé, la connectivité Internet et les utilitaires antivirus installés (PSP) ainsi qu'une liste des types de fichiers à exfiltrer comme les documents Office. , audio, vidéo, images ou types de fichiers personnalisés. Le «menu» demande également des informations si un accès récurrent à la cible est possible et combien de temps un accès non observé à l'ordinateur peut être maintenu. Ces informations sont utilisées par le logiciel 'JQJIMPROVISE' de la CIA (voir ci-dessous) pour configurer un ensemble de malwares CIA adaptés aux besoins spécifiques d'une opération.

Improviser (JQJIMPROVISE)

'Improvise' est un ensemble d'outils pour la configuration, le post-traitement, la configuration de la charge utile et la sélection du vecteur d'exécution pour les outils d'enquête / d'exfiltration prenant en charge tous les principaux systèmes d'exploitation tels que Windows (Bartender), MacOS (JukeBox) et Linux (DanceFloor). Ses utilitaires de configuration comme Margarita permettent au NOC (Network Operation Center) de personnaliser les outils en fonction des exigences des questionnaires «Fine Dining».

RUCHE

HIVE est une suite de logiciels malveillants CIA multi-plateformes et son logiciel de contrôle associé. Le projet fournit des implants personnalisables pour les plates-formes Windows, Solaris, MikroTik (utilisées dans les routeurs Internet) et Linux, ainsi qu'une infrastructure Listening Post (LP) / Command and Control (C2) pour communiquer avec ces implants.

Les implants sont configurés pour communiquer via HTTPS avec le serveur Web d'un domaine couvert. chaque opération utilisant ces implants a un domaine de couverture distinct et l'infrastructure peut gérer un nombre quelconque de domaines de couverture.

Chaque domaine de couverture se résout en une adresse IP qui se trouve chez un fournisseur commercial de VPS (serveur privé virtuel). Le serveur public transfère tout le trafic entrant via un VPN vers un serveur «Blot» qui gère les demandes de connexion réelles des clients. Il est configuré pour l'authentification client SSL en option: si un client envoie un certificat client valide (seuls les implants peuvent le faire), la connexion est transmise au serveur d'outils 'Honeycomb' qui communique avec l'implant; s'il manque un certificat valide (ce qui est le cas si quelqu'un essaie d'ouvrir le site Web du domaine de couverture par accident), le trafic est transféré vers un serveur de couverture qui fournit un site Web d'apparence peu suspecte.

Le serveur d’outils Honeycomb reçoit des informations exfiltrées de l’implant; Un opérateur peut également charger l'implant d'exécuter des tâches sur l'ordinateur cible. Le serveur d'outils fait donc office de serveur C2 (commande et contrôle) pour l'implant.

Des fonctionnalités similaires (bien que limitées à Windows) sont fournies par le projet RickBobby.

Lire l'histoire complète ici…


Mise à jour

(Merci à Richard Grove, rédacteur en chef de Tragédie et espoir)

Signal App est produit par Open Whisper Systems, financé par Open Technology Fund (le plus important financeur de Open Whisper Systems), un projet du gouvernement américain (qui a également travaillé sur TOR et TAILS, un accès crypté et un système d'exploitation).

Voici les liens dans mon plan d'histoire:

  1. Signal App
  2. Systèmes ouverts chuchotement
  3. Fonds de technologie ouverte
    1. "Le Fonds pour la technologie ouverte (FEO) est un Gouvernement des États-Unis programme financé créé dans 2012 at Radio Free Asia soutenir global Liberté d'Internet les technologies. Sa mission est «[d'utiliser] les fonds disponibles pour soutenir des projets qui développent des technologies ouvertes et accessibles pour contourner la censure et notre surveillanceet ainsi promouvoir droits de l'homme et sociétés ouvertes ».[1]
    2. Le Open Technology Fund a été créé en 2012.[1] Selon un journaliste américain Lac Eli, l'idée de créer le Fonds pour la technologie ouverte est le résultat d'une politique préconisée par Hillary Clinton quand elle était la Secrétaire d'état américain.[3] Lake a écrit que la politique de Clinton était «fortement influencée par la Activisme Internet qui a aidé à organiser le révolution verte en Iran dans 2009 qualité révolutions dans le monde arabe avec 2010 et 2011".[3]
    3. En février 2016, l'Open Technology Fund soutient 83 projets, comprenant plus de 2 700 développeurs, technologues et traducteurs.[5] Parmi les projets notables soutenus par la FEO, notons: Le projet Tor, Systèmes ouverts chuchotement, Cryptocat, GlobaLeaks, Tor2web, Le projet Guardian, Commotion sans fil, Lanterne, Projet Serval, Bruyère, NoScript, Qubes OS, et notre Tails.[6]

S'abonner
Notifier de
invité

2 Commentaires
Le plus ancien
Date Les plus votés
Commentaires en ligne
Voir tous les commentaires