WikiLeaks ha pubblicato dall’inizio di marzo una serie di documenti (Vault 7) che descrivono il funzionamento di alcuni strumenti usati dalla CIA per le sue azioni di cyberspionaggio. Dopo aver rivelato dettagli su 23 tool di hacking, l’organizzazione fondata da Julian Assange ha ora avviato la nuova serie Vault 8, condividendo il codice sorgente del progetto Hive.
WikiLeaks sottolinea che il materiale pubblicato non contiene nessuna vulnerabilità zero-day che può essere sfruttata da eventuali malintenzionati. La serie Vault 8 include software sviluppato per essere eseguito sui server controllati dalla CIA. Lo scopo della pubblicazione è aiutare giornalisti investigativi ed esperti forensi nell’identificazione e nella comprensione dell’infrastruttura progettata dall’agenzia statunitense. Uno dei componenti principali è Hive, un avanzato sistema di controllo del malware installato sui computer delle ignare vittime.
Hive è un sostanza un server C&C (command-and-control) che permette agli agenti della CIA di controllare da remoto il malware usato per rubare informazioni sensibili, senza essere scoperti. Il sistema consente di eseguire più operazioni usando “impianti” multipli su differenti target. Ogni operazione è associata ad un dominio (un sito web), sul quale viene eseguito il software custom della CIA. Questi server rappresentano la “faccia pubblica” dell’infrastruttura e funzionano come relay per il traffico HTTPS che viaggia su una connessione VPN verso un server nascosto denominato Blot.
Nel caso in cui il malware venisse scoperto, Hive rende quasi impossibile risalire alla CIA. Il traffico generato dal malware (i dati sensibili rubati) viene inviato ad un gateway (Honeycomb nel grafico), mentre il traffico normale viene inviato al “cover server” che fornisce normali contenuti agli utenti. I certificati digitali usati per l’autenticazione sono generati dalla CIA, impersonando entità esistenti, una della quali è Kaspersky Lab. Se il target esamina il traffico uscente dalla sua rete attribuirà il furto di dati ad un’entità estranea alle attività della CIA.