Il malware Athena della CIA sviluppato con un contractor privato

Mag 19, 2017 Marco Schiaffino Malware, News, RSS 0

WikiLeaks pubblica la documentazione sul trojan in dotazione agli 007. Sviluppato con la società privata Siege Technologies, funziona su tutte le versioni di Windows da XP a 10.

Non solo software “fatto in casa”: nell’arsenale della Central Intelligence Agency ci sono anche malware sviluppati in collaborazione con contractor privati.

A rivelarlo (ma non è una grossa sorpresa) è WikiLeaks, che oggi ha pubblicato sul suo sito i documenti dei CIA Leaks relativi ad Athena, un trojan in grado di funzionare con tutte le versioni di Windows (da XP all’ultimo Windows 10) e che consente agli 007 americani di portare attacchi mirati ai loro bersagli.

L’impianto sarebbe stato sviluppato in collaborazione con Siege Technologies, una società privata che si occupa di “sorveglianza informatica” e che nel 2016 è stata acquisita da Nehemiah Security.

Come si legge nel manuale d’uso, Athena mette a disposizione un builder che consente agli agenti CIA di creare l’impianto in modo che si adatti all’ambiente di lavoro in cui dovrà operare. In altre parole, il builder consente di realizzare un trojan “cucito su misura” per il dispositivo che si vuole infettare.

Il malware, stando alla documentazione, consentirebbe anche una forma di installazione residente esclusivamente in memoria (fileless) che consentirebbe una maggiore probabilità di aggirare i controlli antivirus.

L’installer così ottenuto è programmato per ottenere la persistenza sul computer infetto e comunicare con un server remoto in attesa di istruzioni. Stando alla documentazione pubblicata da WikiLeaks, il malware avrebbe una configurazione base (Athena) e una avanzata (Hera) che differiscono in quanto a caratteristiche tecniche.

Hera, a differenza della versione ”base” Athena, ottiene la persistenza attraverso il processo DNScache, ma stando alle note conclusive richiede un riavvio della macchina per ottenere i necessari privilegi di esecuzione.

Hera, nel dettaglio, sarebbe compatibile solo con le versioni più recenti di Windows (8 e 10) e utilizzerebbe tecniche di persistenza più avanzate (inserendosi a livello di Dnscache) sfruttando inoltre un sistema di crittografia AES 256, più complesso del sistema XTEA (che tra l’altro non è efficace sui sistemi a 64 bit) utilizzato da Athena.

Per quanto riguarda le funzionalità, però, i due impianti si equivalgono e in particolare sono focalizzati sulle funzioni di esfiltrazione di file dalle macchine infette e la possibilità di sfruttare la loro funzione modulare per installare ulteriori payload sulla macchina. Insomma: niente di molto diverso dai malware “commerciali” che siamo abituati a vedere.

La notizia arriva proprio quando il Senato degli Stati Uniti sta avviando i primi passi per l’implementazione del Protecting Our Ability to Counter Hacking (PATCH) Act, il provvedimento legislativo che dovrebbe introdurre delle regole certe per gestire la comunicazione alle società private da parte delle agenzie governative di vulnerabilità individuate in software e sistemi operativi. Probabile che dalle parti di Microsoft non vedano l’ora che la legge diventi operativa…

Condividi l'articolo