WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Vault 8: WikiLeaks tiết lộ mã nguồn của Hive - Hệ thống kiểm soát malware của CIA
Đồng thời tổ chức này công bố mã nguồn và log phát triển của dự án Hive - một backend quan trọng mà CIA sử dụng để quản lý từ xa malware (phần mềm độc hại) bí mật của mình.
Vào tháng 4 năm nay, WikiLeaks đã tiết lộ sơ bộ Dự án này. Hive là một máy chủ C&C (hệ thống kiểm soát malware) kết nối với malware để gửi lệnh thực thi nhiệm vụ cụ thể trên mục tiêu và nhận thông tin rò rỉ từ các máy bị tấn công.
Đây là một hệ thống all-in-one đa người dùng mà CIA có thể sử dụng để điều khiển từ xa việc cài cắm malware trong các hoạt động khác nhau.
Cơ sở hạ tầng của Hive được thiết kế đặc biệt để ngăn chặn việc phát hiện nguồn gốc tấn công, bao gồm một trang web giả mạo theo nhiều bước kết nối qua mạng VPN.
WikiLeaks cho biết ngay cả khi phát hiện được việc cài cắm malware trên một máy tính, rất khó để xác định nó có liên quan đến CIA nếu chỉ nhìn vào kết nối của malware với các máy chủ khác trên internet.
Trong sơ đồ minh họa, malware được cài trực tiếp kết nối với một trang web giả mạo, chạy trên VPS (Virtual Private Server) thương mại, mà bề ngoài có vẻ vô hại khi mở trực tiếp ở trình duyệt web.
Máy chủ Blot sau đó chuyển tiếp lưu lượng truy cập tới cổng quản lý điều khiển việc cài malware gọi là 'Honeycomb'.
Để tránh sự phát hiện của các quản trị, chứng chỉ số giả mạo của Kaspersky Lab đã được dùng.
Theo WikiLeaks, "Chứng chỉ số cho việc chứng thực cài cắm được tạo ra bởi các cơ quan giả mạo CIA".
"Có 3 ví dụ chỉ ra mã nguồn để phát triển một chứng chỉ giả mạo của công ty an ninh mạng Kaspersky Laboratory, Moscow và được ký bởi Thawte Premium Server CA, Cape Town ".
Mã nguồn của dự án Hive đã được công khai để bất cứ chuyên gia và nhà báo nào cũng có thể tải về và tìm hiểu các chức năng của nó.
Theo Hackernews
