Cybersecurity

Wikileaks: Umbrage team, ecco come la CIA organizza operazioni sotto copertura e infetta Windows

Ecco i segreti del team Cia che gestisce l’archivio degli strumenti utilizzati nelle guerre del cyberspazio: dal Rat DarkComet al Trojan Upclicker fino all’Exploit Kit Nuclear

Mentre in rete si diffondono le ultime rivelazioni di Wikileaks relative alle attività della CIA, nuovi interessanti dettagli emergono sulla struttura dell’intelligence americana. All’interno della preziosa collezione di file ottenuta da Wikileaks vi è esplicito riferimento ad un gruppo denominato “Umbrage team” la cui responsabilità principale è la gestione di un archivio contenente informazioni e strumenti utilizzati da altri attori malevoli in precedenti attacchi.wikileaksflag

 

Come agisce l’Umbrage Team

Il gruppo Umbrage è sotto il controllo della divisione Remote Development Branch all’interno del CIA Center for Cyber Intelligence.

Ma per quali motivi mantenere una libreria di tool e tecniche di attacco condotti da altri stati e non-state actors?

Diverse sono le ragioni, come, probabilmente, la volontà di costituire un archivio per attività forensi che consentano agli esperti americani di individuare con maggior precisione eventuali legami con precedenti offensive ed attori malevoli responsabili di altre campagne in caso di attacco. Ma in realtà vi sono altre spiegazioni plausibili quali:

  • Ridurre i costi ed i tempi per lo sviluppo ex novo di tool per condurre campagne di hacking.
  • Rendere complessa l’attribuzione di un cyber attacco simulando le tecniche di hacking notoriamente associate ad altri attori malevoli.

Tool, Rat e malware per attaccare il nemico

Andando a guardare in dettaglio i file relativi alla libreria manutenuta dalla divisione della CIA, salta subito agli occhi la presenza di un tool chiamato Rebound.
Si tratta di un malware che implementa metodiche in uso dal temuto Shamoon malware, un codice malevolo in grado di cancellare i dati presenti sul disco rigido della vittima e di rendere inutilizzabile il PC. Shamoon fu scoperto per la prima volta nel 2012, quando in un attacco contro la compagnia petrolifera saudita Saudi Aramco provocò il blocco di più di 30.000 computer.

Il malware Shamoon, nella sua variante originale, utilizza un driver firmato digitalmente, RawDisk, e sviluppato dall’azienda Eldos.

Gli hacker dell’Umbrage team hanno riprodotto esattamente la medesima tecnica per bypassare il controllo della licenza del RawDisk driver ed utilizzarlo nella procedura per la cancellazione dei dati presenti sul disco.
In questo modo Shamoon e Rebound possono essere facilmente confusi, creando notevoli problemi a coloro che analizzano i codici malevoli.

Il gruppo di esperti della CIA ha molte altre tecniche e strumenti nel suo arsenale. Ad esempio, essi sono in grado di riprodurre una tecnica di persistenza implementata on origine dal rootkit HiKit.

Non solo, il membri del Team sono in grado di riprodurre la funzionalità di cattura delle immagini dalla webcam utilizzata dal Rat (Remote access tool) DarkComet così come le tecniche di evasione delle sandbox implementate dal TrojanUpclicker e dall’Exploit Kit Nuclear.

wikileaks_umbrage

Le operazioni sotto copertura (False flag)

Le operazioni di false flag della CIA non potevano non utilizzare anche codice trapelato nel 2015 dopo la violazione di dati delle società di sorveglianza italiana Hacking Team.

Gli esperti della CIA hanno concentrato i loro sforzi sulla realizzazione di una serie di impianti utilizzati dall’azienda milanese progettati specificamente per compromettere i sistemi Windows.

Quanto emerge dai documenti inerenti l’Umbrage Team deve indurci a riflettere seriamente sulla reale complessità della attribuzione di un attacco cibernetico ed alla possibilità che esso inneschi una risposta militare o diplomatica di uno stato o di una coalizione obiettivo di una offensiva dal cyber spazio.

Molte altre agenzie di intelligence potrebbero aver utilizzato una tecnica simile per ingannare gli investigatori delle principali aziende di sicurezza, con ovvie ripercussioni dell’eventuale attribuzione dei passati attacchi.

Leggi anche: “Peggio del Datagate: i segreti della cripta (Vault 7), svelati da Wikileaks

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Aumento di capitale per Satispay, già raccolti 14 milioni. Obiettivo: mercato estero

Risorse da record per la startup italiana dei pagamenti digitali fondata da Alberto Dalmasso, Dario Brignone e Samuele Pinta. I fondi raccolti saranno destinati all’internazionalizzazione del prodotto. A partire dalla Germania

Chi compra l’usato guadagna 900 euro all’anno. Intervista alla CEO di Subito.it

Secondo l’Osservatorio 2016 Second Hand Economy condotto da DOXA, la compravendita dell’usato cresce di €1 miliardo nel 2016 e ora vale l’1,1% del PIL. Abbiamo sentito Melany Libraro per capire come cambiano le abitudini degli italiani

La centrifuga di Iscleanair ripulisce l’aria dagli inquinanti senza usare filtri

La scaleup, che è inserita nel programma di accelerazione Eit Digital, propone un dispositivo in grado di migliorare la qualità degli ambienti interni ed esterni, sfruttando l’abbattimento in acqua. La sua soluzione può aiutare anche la rigenerazione urbana

Quanto sono sicuri i tuoi sistemi? Ecco cosa ci dice il rapporto Verizon sulle violazioni informatiche

Ransomware e phishing sono in aumento, i settori finanziario e sanitario tra i più colpiti, ma anche le piccole imprese non stanno tranquille. Entusiasmo, distrazione, curiosità e incertezza sono i cavalli di Troia