Vault 8: WikiLeaks tiết lộ mã nguồn của Hive - Hệ thống kiểm soát malware của CIA

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 13/11/17, 03:11 PM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 68
    Đã được thích: 23
    Điểm thành tích:
    18
    Vault 8_Anh 1.png
    Ngày 9/11, WikiLeaks đã công bố một loạt tài liệu mới về Vault 8 bao gồm các mã nguồn và thông tin về cơ sở hạ tầng backend do các hacker của CIA phát triển.

    Đồng thời tổ chức này công bố mã nguồn và log phát triển của dự án Hive - một backend quan trọng mà CIA sử dụng để quản lý từ xa malware (phần mềm độc hại) bí mật của mình.

    Vào tháng 4 năm nay, WikiLeaks đã tiết lộ sơ bộ Dự án này. Hive là một máy chủ C&C (hệ thống kiểm soát malware) kết nối với malware để gửi lệnh thực thi nhiệm vụ cụ thể trên mục tiêu và nhận thông tin rò rỉ từ các máy bị tấn công.

    Đây là một hệ thống all-in-one đa người dùng mà CIA có thể sử dụng để điều khiển từ xa việc cài cắm malware trong các hoạt động khác nhau.

    Cơ sở hạ tầng của Hive được thiết kế đặc biệt để ngăn chặn việc phát hiện nguồn gốc tấn công, bao gồm một trang web giả mạo theo nhiều bước kết nối qua mạng VPN.

    WikiLeaks cho biết ngay cả khi phát hiện được việc cài cắm malware trên một máy tính, rất khó để xác định nó có liên quan đến CIA nếu chỉ nhìn vào kết nối của malware với các máy chủ khác trên internet.

    Trong sơ đồ minh họa, malware được cài trực tiếp kết nối với một trang web giả mạo, chạy trên VPS (Virtual Private Server) thương mại, mà bề ngoài có vẻ vô hại khi mở trực tiếp ở trình duyệt web.

    Vault 8_Anh 2.png
    Tuy nhiên, sau khi xác thực, malware được cài vào có thể kết nối với máy chủ web (lưu trữ trang web giả mạo), và chuyển tiếp lưu lượng truy cập có liên quan với malware đến một máy chủ của CIA "ẩn" có tên là 'Blot' qua một kết nối VPN an toàn.

    Máy chủ Blot sau đó chuyển tiếp lưu lượng truy cập tới cổng quản lý điều khiển việc cài malware gọi là 'Honeycomb'.

    Để tránh sự phát hiện của các quản trị, chứng chỉ số giả mạo của Kaspersky Lab đã được dùng.

    Theo WikiLeaks, "Chứng chỉ số cho việc chứng thực cài cắm được tạo ra bởi các cơ quan giả mạo CIA".

    "Có 3 ví dụ chỉ ra mã nguồn để phát triển một chứng chỉ giả mạo của công ty an ninh mạng Kaspersky Laboratory, Moscow và được ký bởi Thawte Premium Server CA, Cape Town ".

    Mã nguồn của dự án Hive đã được công khai để bất cứ chuyên gia và nhà báo nào cũng có thể tải về và tìm hiểu các chức năng của nó.

    Theo Hackernews
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    blackarch thích bài này.
  2. Binary digIT

    Binary digIT Member

    Tham gia: 01/11/17, 02:11 PM
    Bài viết: 14
    Đã được thích: 3
    Điểm thành tích:
    3
    bài viết hay, mong sẽ có thêm nhiều bài viết hay nữa cho độc giả. hihi
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: