Roma - Wikileaks ha recentemente pubblicato un nuovo rilascio della
serie Vault 7 dedicata alla CIA: una sessantina di documenti segreti
risalenti al periodo compreso tra il 2006 e il 2012 e relativi a
CherryBlossom; un progetto realizzato dalla CIA con la collaborazione
dell'ente non profit SRI International con lo scopo di monitorare
l'attività Internet degli obiettivi dell'agenzia, attraverso l'hacking
di decine di modelli di router ed access point destinati all'utilizzo
domestico, pubblico e al mondo enterprise.Nel dettaglio, CherryBlossom è
un componente firmware compatibile con decine di modelli di router
delle principali marche, tra cui Asus, Belkin, Linksys, D-Link, 3Com, US
Robotics. Nella maggior parte dei casi, la CIA è in grado di installare
il componente senza la necessità di avere accesso fisico al
dispositivo, sfruttando la possibilità di aggiornare il firmware del
router da remoto. Nel caso in cui sia stata inibita la possibilità di
upgradare il firmware da una connessione WiFi tramite interfaccia Web o
terminale, la CIA ha sviluppato appositi Wireless Upgrade Packages
(WUPs) che comprendono anche degli exploit in grado di ricavare dal
dispositivo la password di amministrazione.Fa inoltre parte del progetto
un software chiamato "Claymore", avente varie funzionalità che vanno
dalla scansione dei dispositivi, alla cattura di pacchetti, fino
all'aggiornamento forzato del firmware. Infine, nel caso in cui il
dispositivo non sia wireless, i documenti descrivono la possibilità di
aggiornare il firmware via cavo, attraverso un'inevitabile operazione
sul campo, che consisterebbe nell'intercettare il dispositivo a metà
strada tra l'acquirente e il venditore.L'accesso remoto al dispositivo
avviene tentando il login con password deboli o predefinite, oppure
sfruttando degli exploit ancora non noti, denominati Tomato e Surfside.
Una volta ottenuto l'accesso e aggiornato il firmware del router con
CherryBlossom, il dispositivo infetto diventa una FlyTrap, gestibile da
remoto dagli agenti della CIA per mezzo di un server
command-and-control, analogo a quello utilizzato dai virus di tipo
trojan. Il server, che porta il nome CherryTree, possiede un'interfaccia
web di amministrazione chiamata CherryWeb.architettura cherryblossomNel
caso in cui un router diventi una FlyTrap, esso inizia a inviare
messaggi, detti beacon, al proprio server di riferimento, riportando il
proprio stato e le proprie impostazioni di sicurezza. Instaurato questo
collegamento, le principali operazioni effettuabili dagli agenti della
CIA sono le seguenti: estrazione di dati, come indirizzi email,
nickname utilizzati in servizi di chat, indirizzi MAC, numeri VoIP;
copia di tutto o parte del traffico di rete effettuato dagli utenti;
reindirizzamento della navigazione Internet, effettuata tramite la
tecnica del doppio iframe. In pratica, la risposta HTTP viene sostituita
da due iframe: il primo iframe contiene la URL della richiesta
originale, il secondo, nascosto, restituisce il contenuto desiderato. In
alternativa, il reindirizzamento avviene tramite HTTP redirect. In
questo caso la risposta HTTP viene sostituita con un redirect al
contenuto desiderato; il browser viene poi ulteriormente reindirizzato
alla URL originale in modo da trarre in inganno l'utente;
installazione di un proxy su una o tutte le connessioni di rete, al fine
di effettuare attacchi di tipo man-in-the-middle; creazione di un
tunnel VPN tra la FlyTrap e il server di command-and-control, in modo da
poter tentare l'accesso su tutti i client collegati alla FlyTrap, via
cavo o WiFi; esecuzione di applicazioni sulla FlyTrap.interfaccia
cherrywebInoltre, qualora la trasmissione di beacon tra FlyTrap e
CherryTree si interrompa, allo scadere di un determinato suicide timeout
CherryBlossom termina la sua esecuzione, senza compromettere il
funzionamento normale del router. Tuttavia, seppur non più funzionante,
CherryBlossom continua a risiedere all'interno dell'immagine del
firmware salvata in memoria, in quanto una procedura di rimozione
completa richiederebbe troppo tempo e rischierebbe di compromettere il
funzionamento del dispositivo.Questo rilascio di documenti da parte di
Wikileaks, a differenza dei precedenti della serie Vault 7, non
comprende binari o codice sorgente: di conseguenza, exploit e strumenti
come Tomato, Surfside e Claymore restano - almeno per il momento -
oggetti misteriosi.
Elia Tufaroloda
punto informatico::::::::::::::::::::::
Perchè
Vault 7? Perchè in un gioco fanta horror (liberamente ispirato al
romanzo, e al film dallo stesso nome, 'La strada' di cormack mc cormick)
Fallout 3 poco prima che scoppiasse, in quella realtà accentuata e
aletrnativa al nostro mondo, una guerra nucleare fra americani e cinesi
una società guidata da una ristrettissima élite che controllava il
potere aveva costruito dei Vault dei rifugi (non sto a dilungarmi basta
faer una ricerchina su google con la chiave story teller di Fallout 3
pre trovare tutta la storia) in cui alcuni si potevano rifugiare
chiamati appunto Vault...
Nessun commento:
Posta un commento