WikiLeaks: ecco come gli agenti CIA “trollano” le vittime

Mag 16, 2017 Marco Schiaffino In evidenza, Leaks, Malware, News, RSS 0

Pubblicati i documenti relativi a due strumenti di spionaggio. Nei manuali la guida per “fare dispetti” alle vittime usando i “Gremlins”.

Mentre il mondo si preoccupava degli attacchi legati al ransomware WannaCry, dalle parti di WikiLeaks erano pronti a pubblicare il nuovo capitolo dei CIA Leaks, il corposo archivio di documenti relativo agli strumenti di hacking in dotazione agli 007 statunitensi.

A questo giro, il sito di Julian Assange si concentra su due strumenti di spionaggio informatico, che i creativi programmatori della CIA hanno battezzato con i nomi di Assassin e After Midnight.

Il primo è un classico trojan, programmato per dialogare con un server Command and Control e dotato di tutto quello che serve per catturare ed esfiltrare informazioni dal computer di un bersaglio.

Come si legge nel manuale pubblicato da WikiLeaks, si tratta di uno strumento modulare ed estremamente flessibile, che prevede tra le sue opzioni anche la possibilità di prevedere un periodo di “ibernazione” in cui l’impianto rimane dormiente.

After Midnight è qualcosa di molto simile ad Assassin, ma in questo caso la documentazione è decisamente più folkloristica, già a partire dal linguaggio usato. Nel manuale d’uso, infatti, i payload vengono definiti come “Gremlins” e nelle istruzioni si fanno esempi di come “trollare” le vittime per incidere sul loro comportamento.

Il diagramma che descrive la struttura modulare di After Midnight parla di… Gremlins!

Da un punto di vista tecnico, After Midnight è composto da un “cuore” rappresentato da una DLL e da moduli che vengono scaricati istantaneamente quando servono, che gli sviluppatori definiscono appunto “Gremlins”.

A occuparsi di fare dispetti ai bersagli sottoposti a controllo è un modulo che nel manuale viene chiamato Process Gremlin e che permette agli spioni della CIA di intervenire sui processi attivi del sistema infettato.

Ma perché progettare un modulo ad hoc con queste funzioni? Le ipotesi che si trovano nella sezione “esempi” del manuale, per la verità, lasciano un po’ perplessi.

Grazie al Process Gremlin, per esempio, si possono usare una serie di comandi che chiudono il browser (nel testo si fa riferimento a Firefox e Internet Explorer) ogni 30 secondi. Lo scopo?

Con uno sforzo di fantasia si può ipotizzare qualche scenario tipo. Immaginiamo per esempio che i prodi agenti della CIA stiano aspettando con trepidazione che la loro vittima scriva un’email che vogliono intercettare, ma lo sciagurato perditempo è ipnotizzato da un video di gattini su Facebook. Stroncare il browser potrebbe essere un modo per “incoraggiarlo” a occuparsi di cose più serie.

Più difficile capire quale possa essere lo scopo pratico del secondo esempio, che sembra ispirato al puro sadismo. Il codice, in questo caso, permette infatti di rallentare PowerPoint riducendo del 50% le risorse dedicate e impostando un delay di 30 secondi nella visualizzazione delle diapositive.

Condividi l'articolo