O Wikileaks revelou um código-fonte para o sistema de controle de malware da CIA chamado Colmeia que é usado pela CIA para controlar seus malwares em execução nos sistemas de destino.
Eles anunciaram o cofre 8 para cobrir o código-fonte e os logs de desenvolvimento das ferramentas descritas em cofre 7 Series.
Hive é a infraestrutura mais sofisticada da CIA que ajuda a resolver os problemas críticos dos operadores de Malware que trabalham em nome da CIA.
Um exemplo de cenário que, suponha que um sofisticado Malware da CIA tenha sido descoberto no computador de destino por pesquisadores ou vítimas de segurança de Antivírus, eles não conseguem encontrar os servidores originais apenas observando a comunicação do malware que está operando pela CIA.
Leia também: Cofre 7 Vazamentos: ferramenta “Protego” da CIA usada para controlar o sistema de mísseis e lançar mísseis – WikiLeaks
Além disso, o Hive resolve os problemas mais críticos, mesmo se você colocar um malware sofisticado no computador da vítima, é inútil se não houver maneira de estabelecer comunicação com o servidor C&C.
Este mês, em abril, o WikiLeaks publicou o documento relacionado ao Hive em Cofre 7 Vazamentos Series.
Wikileaks publicou este documento completo para melhor compreensão e informações sobre o sofisticado canal secreto da CIA para jornalistas investigativos, especialistas forenses e público em geral.
Hive Fornece comunicações secretas aos operadores da CIA que permitem que toda uma gama de malware da CIA envie informações exfiltradas à CIA e também receba a nova Instrução do operador de malware da CIA.
LANÇAMENTO: Vault 8 parte 1: Código-fonte da infraestrutura principal da CIA + registros para o sistema de controle de malware ‘Hive’ https://t.co/EvE8GdyAmM # vault8 #cia #hive pic.twitter.com/W95Xah5Thr
– WikiLeaks (@wikileaks) novembro 9, 2017
Os arquivos neste repositório de código criados entre agosto de 2013 e outubro de 2015, mas o desenvolvimento de Colmeia começou muito antes.
Você pode fazer o download do código-fonte vazado do Hive – Download
Operação da CIA usando o Hive
Colmeia a infraestrutura é capaz de executar várias operações nos sistemas de destino usando vários implantes.
Nesse caso, pelo menos um domínio de cobertura foi usado para cada operação que foi registrada anonimamente.
Além disso, um VPS (servidor virtual privado) O uso do domínio de operação é alugado por provedores de hospedagem comercial e seu software é personalizado de acordo com as especificações da CIA.
De acordo com o WikiLeaks, esses servidores são o lado público da infraestrutura de back-end da CIA e agem como uma retransmissão do tráfego HTTP (S) através de uma conexão VPN a um servidor da CIA “oculto” chamado ‘Blot’.
Este domínio está fornecendo conteúdo normal ao público e, se alguém visita o site, parece um domínio normal.
Desde o Hive usando incomuns Autenticação de cliente opcional para que o usuário que está navegando no site não precise se autenticar. Mas implante que a conversa com o Hive do lado Usuários se autentique.
“O tráfego posterior dos implantes é enviado para um gateway de gerenciamento de operadores de implantes chamado Favo de mel enquanto todo o restante tráfego é direcionado para um servidor de cobertura que fornece conteúdo suspeito para todos os outros usuários “
Assim, as identidades da CIA se passarão e a exfiltração de dados da CIA não será identificada pela organização de destino que analisa o tráfego de rede que sai de sua rede.