Taggat med: CIA

Anti-virus i din TV?

Det kanske låter som ett skämt om att köra antivirus-mjukvara på sin TV men när man tänker efter så är det inte helt osannolikt att skadlig kod kan infektera din TV-apparat. Att infektera TV-apparater är nämligen något som bl.a. CIA pysslar med enligt Vault7-läckan (Weeping Angel).

Det som är nytt nu är att Samsung skrev på Twitter att om din Smart TV från dem är ansluten till WiFi så kommer din TV nu att automatiskt genomsöka efter skadlig kod varje vecka:

https://twitter.com/SamsungSupport/status/1140409768743452672

Nedan följer en skärmdump på hur det ser ut när man manuellt genomsöker efter virus (från videon ovan)

Frågan som kvarstår dock är om detta är enligt ett tidigare annonserat partnerskap mellan Samsung och McAfee om att köra MacAfees antivirus på Tizen OS.

Så utvecklas ett cybervapen

Cybervapen i ett cyberkrig

Vad är det som skiljer vanlig skadlig kod mot ett avancerat cybervapen och hur utvecklas ett cybervapen?

🚀 Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Enligt många säkerhetsforskare var Stuxnet ett av de första och mest uppmärksammade cybervapnet. Resurserna som behövdes för att utveckla Stuxnet och dess olika delar är troligtvis något som enbart en nation har: Flertalet programspråk, mängder av moduler, flertalet zero-days, kunskap om urananrikningsanläggningen Natanz centrifuger och stulna certifikat för att nämna några delar som gör att det troligtvis ligger en stat bakom.

Leveransdelen

Denna del av cybervapenet gör att den träffar sitt mål. Eller når rätt klient, hårdvara eller nätverk. Leveransen kan ske via E-post, USB-minne, CD-skiva eller fysiskt ansluta mot den server, klient, TV eller liknande. Vilket bl.a Vault7 läckorna från CIA visade på. Inte helt ovanligt att HUMINT- och SIGINT -resurser nyttjas.

Leveransdelen kan också ske i form av ett implantat som installeras när utrustningen skickas ut till kund. För att nå sitt slutgiltiga mål som kanske är längre in i nätverket kan även zero-days användas eller kod för att detektera och ta sig förbi airgaps eller luftgap som det också kallas. Nätverk som är känsliga och inte anslutna till internet exempelvis.

Verkansdelen

Verkansdelen tillgodoser att målet med cybervapnet uppnås. Det kan vara att påverka en process i ett SCADA-system eller förstöra vitala delar i samhällskritiska system. Även kan detta vara att exfiltrera känslig information från målsystemet.

cybervapen

Kommunikationsdelen

Denna del är inte alltid nödvändig men gör det möjligt att via ett unikt ID ringa hem och meddela att cybervapnet har nått sitt mål eller utfört ett delmål. Kommunikationsdelen är också viktig om cybervapnet ligger dolt under en längre tid och ska aktivera verkansdelen på ett givet kommando.

För att försvåra upptäckt via nätverksforensik och IDS:er (intrångsdetekteringssystem) kan populära sajter såsom Dropbox, Twitter.com eller Instagram användas, givetvis krypterad med TLS.

Steganografi där meddelanden exfiltreras med hjälpa av bilder har även observerats samt kommunikation mot IP-adresser där satellitlänk används och antagonisten haft möjlighet att läsa av kommunikationen med hjälp av SIGINT (signalspaning) eller annan utrustning.

Om kommunikationsdelen använder redan befintlig infrastruktur för att uppdatera mjukvara eller kontrollera om nya versioner finns tillgängliga så är detta också svårt att detektera (se källa 4 nedan).

Kommunikationsdelen kan också användas för att ladda hem och aktivera nya moduler, droppers etc.

Stealth-mode

Det finns många sätt att försöka undgå upptäckt. Jag har tagit upp några sätt här på bloggen tidigare såsom ”Living-off-the-land” där komponenter som redan finnes i systemet återanvänds för andra syften.

En av de äldsta och vanligaste förekommande metoderna är obfuskering eller kryptering. Även kan relativt enkla saker såsom modularitet göra att det är svårt att se helheten i cybervapnet, exempelvis kan sniff-funktioner ligga i en modul, keylogger i en modul osv.

Även så finns det något som heter environmental keyed payloads där en modul kan vara krypterad med en nyckel som bara återfinnes i målnätverket eller systemet.

En annan viktig aspekt är OPSEC för de som utvecklar cybervapen. För allt lämnar spår och något som blir vanligare och vanligare är falskflaggning eller ”false flag”. Spåren kanske ser ut att peka mot ett land men kan i själva verket vara utvecklat av ett helt annat: Språk, tidzoner osv som kan ändras.

Persistens

Ibland så ligger verkansdelen enbart i enhetens RAM-minne och försvinner således om enheten krashar eller startar om. Men som vanligast så vill den som skapat cybervapnet att det ska ligga kvar under en längre tid och då finns det otroligt många sätt att gömma sig.

Jag gjorde denna video för ett tag sedan då jag går igenom 10 olika sätt att lägga in bakdörrar:

https://www.youtube.com/watch?v=zcovxq2nWec

Propagering

En skillnad mellan exempelvis WannaCry och ett cybervapen är att cybervapnets målsättning enbart är att propagera inom ett mindre område. Det kan röra sig om en enskild organisation eller nätverk. Med en mindre spridning blir också en eventuell detektion svårare.

Propagering kan dock vara ett måste som jag skrev under leveransdelen så kanske det finns luftgap mellan processnätverket/hemliga nätverket och internet.

Upprensning

Den eller de aktörer som lägger resurser på att utveckla ett cybervapen vill gärna inte bli upptäckt. När uppdraget är slutfört ska vapnet radera sig själv, även kan det finnas en inbyggd räknare som automatiskt ser till att radering genomförs efter exempelvis 12 månader.

Ett cybervapen kan även innehålla zero-days som utnyttjar sårbarheter och dessa vill även antagonisten radera alla bevis om, för då kan de använda sårbarheten mot fler mål.

Gillar du detta blogginlägg? Bli gärna månadsgivare via Patreon:

Källor

  1. Turla malware
  2. Gauss payload
  3. Falskflaggning med CIA Marble framework
  4. M.E.Doc och C&C via uppdateringsservrar, NotPetya

NSA släpper Reverse-Engineering verktyg

NSA släpper Reverse-Engineering verktyg

Uppdatering: Ghidra är nu släppt på https://ghidra-sre.org/

Amerikanska säkerhetsmyndigheten NSA avser att släppa verktyget GHIDRA som open-source under den årliga RSA-konferensen som går av stapeln i San Francisco under Mars månad.

Stöd mitt bloggande via Patreon 👊

GHIDRA är ett ramverk för att utföra Reverse-Engineering eller baklänges ingenjörskonst som det ibland kallas. Analysera binär kod exempelvis i syfte att undersöka skadlig kod eller ta sig in i system.

The GHIDRA platform includes all the features expected in high-end commercial tools, with new and expanded functionality NSA uniquely developed, and will be released for free public use at RSA.

Robert Joyce, NSA

Charlie Miller som tidigare jobbat på NSA kommenterade på Twitter att verktyget fanns för 13 år sedan då han jobbade på myndigheten:

Verktyget är skrivet i programspråket Java och påminner mycket om IDA Pro som är ett verktyg som jag spenderat en hel del tid med.

Information om GHIDRA har tidigare läckt via CIA Vault7-läckorna som återfinnes på Wikileaks.

Allvarlig sårbarhet i Cisco Cluster Management Protocol

Cisco har via CIA Vault7-läckan identifierat en allvarlig sårbarhet i Cisco Cluster Management Protocol (CMP). Denna sårbarhet gör att en angripare kan fjärrmässigt tillförskaffa sig administrativa rättigheter på en Cisco-enhet.

Denna sårbarhet utnyttjas genom att en angripare skickar telnet-kommandon innehållandes specifika CMP-options (så kallade telnet option codes).

För att sårbarheten ska gå att utnyttja måste följande två förutsättningar vara uppfyllda:

  • CMP subsystem is present on the Cisco IOS XE software image running on the device, and
  • The device is configured to accept incoming Telnet connections.

Och för att se om just din enhet stödjer CMP kan du skriva kommandot: show subsys class protocol | include ^cmp

Cisco skriver på sin hemsida:

This vulnerability was found during the analysis of documents related to the Vault 7 disclosure

För att se hela listan med enheter som kan vara sårbara se Cisco.com

CIA Vault7 läcka från Wikileaks

Jag tänkte kommentera gällande den senaste läckan från Wikileaks som inkluderar en stor mängd olika cyber-relaterade verktyg, metoder etc från vad som sägs är CIA.

Läckan ser ut att komma från något inom CIA som heter devlan.net och är troligtvis ett utvecklingsnätverk för cybervapen. Eftersom CIA till skillnad från NSA bedriver HUMINT så kräver majoriteten av verktygen fysisk access till enheten.

Det ser inte ut att finnas några överdrivna referenser till zero-days och generellt håller det som är läckt inte den högsta tekniska förmågan. Läckan innehåller även referenser till skadlig kod som CIA troligtvis installerar och antivirus-företagen är redan på att skriva signaturer för att identifiera CIA:s verktyg.

Viktigt också att tillägga är att om du kan ta dig in på en mobiltelefon genom att utnyttja sårbarheter så kommer du givetvis också åt applikationer såsom WhatsApp och Signal.

Även så finns det referenser till att CIA kan installera verktyg för att avlyssna via en vanlig Samsung Smart-TV. Och även detta kräver troligtvis fysisk access till TV:n innan eller när den införskaffas.

Läckan inträffade under förra året och de läcka filterna troligtvis varit tillgänglig för andra sedan tidigare. Den innehåller 8761 dokument och filer men inte så många binärer annat än ett fåtal exe-filer och python-kod.

Kommentar som återfinnes i läckan:

What did Equation do wrong, and how can we avoid doing the same?

NSA avlyssningsoperation IVY BELLS

Operation IVY BELLS var en avlyssningoperation utförd av amerikanska marinen, NSA samt CIA tillsammans. Målet var att avlyssna en undervattenskabel som gick i Ochotska havet till marinbasen i Petropavlovsk. Detta låter kanske som någon nyligen utförd operation men denna operation påbörjades i början av 1970-talet.

Installationen genomfördes på 120 meters djup från ubåten USS Halibut och den specialutvecklade avlyssningsutrustningen var 6 meter lång och vägde 6 ton utvecklad av Bell Labs.

ivy bellsTill amerikanarnas förvåning var nästan all kommunikation okrypterad och flertalet avlyssningstappar installerades från ubåtar som modifierades för syftet.

Varje månad fick även ubåten besöka avlyssningstappen för att byta ut de band som spelade in kommunikationen. Även så konstruerades tappen på ett sådant sätt att den skulle automatiskt släppa om kabeln togs upp för reparation.

Okhotsk

Just denna tapp var borta vid ett av ubåtens besök tio år senare och det visade sig att NSA hade en läcka vid namn Ronald Pelton. Satellitbilder visade då på att ett antal ryska fartyg hade befunnit sig på platsen ovanför tappen.

Under dessa tio år som tappen var installerade gav den amerikanarna stor inblick i den ryska marina kommunikationen.

Tappen återfinnes i dagsläget på ett KGB museum i Moskva och Ronald Pelton som sålde informationen om tappen till ryssarna för 35000$ blev senare avslöjad då hans KGB-kontaktperson Vitaly Yurchenko hoppade av och flyttade till USA (temporärt?).

Att det tog så lång tid att avlägsna tappen från det att Ronald berättade till Ryssland, beror enligt vissa på att den nyttjades till att förse NSA med desinformation.

Kryptos

Utanför den amerikanska myndigheten CIA så återfinns ett monument som går under namnet Kryptos. Monumentet inviges år 1990 och innehåller en mängd tecken. Ingen har lyckats att lösa gåtan men det finns dock ett antal olika förslag på lösningar. Nu har dock CIA tröttnat på att vänta och därför så släpper konstnären som skapat Kryptos ytterligare ledtrådar som ska underlätta en lösning på gåtan.

Krytpos betyder ”gömd” på grekiska.

För mer information kan du läsa Wired.