ویکیلیکس با اسناد محرمانه Vault 8 از سامانه پیشرفته کنترل بدافزار سازمان سیا با نام پروژه Hive پرده برداشت.
به گزارش آی تابناک : ویکیلیکس تقریبا دو ماه پس از انتشار جزییات ۲۳ پروژه متفاوت از ابزار نفوذ محرمانه سازمان سیا تحت سری Vault 7، بهتازگی جزییات جدیدی از Vault 8 را اعلام کردهاست که کدهای منبع و اطلاعات مربوط به زیرساختهای پنهانی توسعهیافته توسط نفوذگرهای سازمان سیا را آشکار میکند.
این سازمان تنها به اعلامیه اکتفا نکردهاست و اولین گروه از افشای Vault 8 خود را نیز منتشر کردهاست که مربوط میشود به کد منبع و گزارشهای توسعه پروژه Hive که یک بخش پنهانی از این آژانس بهصورت مخفیانه از آن برای کنترل از راه دور بدافزار خود استفاده میکند.
در ماه آوریل امسال، ویکیلیکس اطلاعات مختصری در مورد پروژه Hive افشا کرد که نشان میداد این پروژه یک کارگزار پیشرفته دستور و کنترل (سیستم کنترل بدافزار) است که برای ارسال دستورات بهمنظور اجرای وظایف خاص بر روی دستگاههای هدف و دریافت اطلاعات استخراج شده از آنها با بدافزار ارتباط برقرار میکند.
پروژه Hive یک سامانه چندکاربره است که میتواند توسط چندین اپراتور سازمان سیا برای کنترل از راه دور بدافزار در عملیاتهای مختلف مورد استفاده قرار بگیرد.
زیرساختهای Hive بهطور خاص برای جلوگیری از شناسایی طراحی شدهاست. این زیرساخت شامل یک وبسایت جعلی در معرض دید و چندین لایه ارتباطات VPN است.
ویکیلیکس میگوید: «با استفاده از Hive حتی اگر یک نسخه از بدافزار بر روی رایانه هدف کشف شود با توجه به ارتباط بدافزار با کارگزارهای دیگر در اینترنت، نسبت دادن آن به سازمان سیا دشوار است.»
بدافزارهای تحت کنترل Hive بهطور مستقیم با یک وبسایت جعلی ارتباط برقرار کرده که در یک کارگزار خصوصی مجازی (VPS) تجاری میزبانی میشود و هنگامیکه بهصورت مستقیم در یک مرورگر وب باز شود بیضرر بهنظر میرسد. با این حال این بدافزار میتواند در پسزمینه و پس از احراز هویت با کارگزار وب (میزبان وبسایت جعلی) ارتباط برقرار کند که پس از آن ترافیک مربوط به بدافزار به یک کارگزار پنهانی سازمان سیا با نام «Blot» و بر روی اتصال امن شبکه خصوصی مجازی ارسال میشود. سپس کارگزار Blot این ترافیک را به یک دروازه مدیریت بدافزار با نام «Honeycomb» ارسال میکند.
بدافزار بهمنظور جلوگیری از شناسایی توسط مدیران شبکه از گواهینامههای دیجیتالی جعلی آزمایشگاه کسپرسکی استفاده میکنند. ویکیلیکس میگوید: «گواهینامههای دیجیتالی مورد استفاده برای احراز هویت بدافزار، توسط عوامل جعل هویتهای موجود در سازمان سیا تولید میشوند.»
کد منبع پروژه Hive منتشر شد و اکنون در دسترس همه قرار دارد و پژوهشگران امنیتی میتوانند با بررسی این کد، اطلاعات بیشتری را منتشر کنند. کد منبع منتشر شده در سری Vault 8 تنها شامل نرمافزارهای طراحی شده برای اجرا بر روی کارگزارهای تحت کنترل سازمان سیا است با این حال، ویکیلیکس اطمینان میدهد که این سازمان هیچیک از آسیبپذیریهای روز-صفرم یا آسیبپذیریهای امنیتی مشابه را که ممکن است توسط دیگران مورد بهرهبرداری قرار بگیرند، منتشر نخواهد کرد.
این سازمان تنها به اعلامیه اکتفا نکردهاست و اولین گروه از افشای Vault 8 خود را نیز منتشر کردهاست که مربوط میشود به کد منبع و گزارشهای توسعه پروژه Hive که یک بخش پنهانی از این آژانس بهصورت مخفیانه از آن برای کنترل از راه دور بدافزار خود استفاده میکند.
در ماه آوریل امسال، ویکیلیکس اطلاعات مختصری در مورد پروژه Hive افشا کرد که نشان میداد این پروژه یک کارگزار پیشرفته دستور و کنترل (سیستم کنترل بدافزار) است که برای ارسال دستورات بهمنظور اجرای وظایف خاص بر روی دستگاههای هدف و دریافت اطلاعات استخراج شده از آنها با بدافزار ارتباط برقرار میکند.
پروژه Hive یک سامانه چندکاربره است که میتواند توسط چندین اپراتور سازمان سیا برای کنترل از راه دور بدافزار در عملیاتهای مختلف مورد استفاده قرار بگیرد.
زیرساختهای Hive بهطور خاص برای جلوگیری از شناسایی طراحی شدهاست. این زیرساخت شامل یک وبسایت جعلی در معرض دید و چندین لایه ارتباطات VPN است.
ویکیلیکس میگوید: «با استفاده از Hive حتی اگر یک نسخه از بدافزار بر روی رایانه هدف کشف شود با توجه به ارتباط بدافزار با کارگزارهای دیگر در اینترنت، نسبت دادن آن به سازمان سیا دشوار است.»
بدافزارهای تحت کنترل Hive بهطور مستقیم با یک وبسایت جعلی ارتباط برقرار کرده که در یک کارگزار خصوصی مجازی (VPS) تجاری میزبانی میشود و هنگامیکه بهصورت مستقیم در یک مرورگر وب باز شود بیضرر بهنظر میرسد. با این حال این بدافزار میتواند در پسزمینه و پس از احراز هویت با کارگزار وب (میزبان وبسایت جعلی) ارتباط برقرار کند که پس از آن ترافیک مربوط به بدافزار به یک کارگزار پنهانی سازمان سیا با نام «Blot» و بر روی اتصال امن شبکه خصوصی مجازی ارسال میشود. سپس کارگزار Blot این ترافیک را به یک دروازه مدیریت بدافزار با نام «Honeycomb» ارسال میکند.
بدافزار بهمنظور جلوگیری از شناسایی توسط مدیران شبکه از گواهینامههای دیجیتالی جعلی آزمایشگاه کسپرسکی استفاده میکنند. ویکیلیکس میگوید: «گواهینامههای دیجیتالی مورد استفاده برای احراز هویت بدافزار، توسط عوامل جعل هویتهای موجود در سازمان سیا تولید میشوند.»
کد منبع پروژه Hive منتشر شد و اکنون در دسترس همه قرار دارد و پژوهشگران امنیتی میتوانند با بررسی این کد، اطلاعات بیشتری را منتشر کنند. کد منبع منتشر شده در سری Vault 8 تنها شامل نرمافزارهای طراحی شده برای اجرا بر روی کارگزارهای تحت کنترل سازمان سیا است با این حال، ویکیلیکس اطمینان میدهد که این سازمان هیچیک از آسیبپذیریهای روز-صفرم یا آسیبپذیریهای امنیتی مشابه را که ممکن است توسط دیگران مورد بهرهبرداری قرار بگیرند، منتشر نخواهد کرد.
منبع : افتانا
روی خط سایت ها
ارسال نظر
فیلم
جدیدترین اخبار