La CIA e i suoi malware

Si chiamano AfterMidnight e Assassin i due virus della #CIA svelati da #WikiLeaks . E' l'ottavo leak della serie #Vault 7 .

Il primo è AfterMidnigth, un framework che permette agli operatori di caricare ed eseguire codice sul pc della vittima.
Il controller principale si nasconde con le sembianze di un servizio DLL (Dynamic Link Library) Windows persistente, offrendo un'esecuzione sicura di payload chiamati "Gremlins", ispirati al famoso film di Steven Spielberg.I Gremlins, come spiega il manuale rilasciato, sono piccoli payload di AfterMidnight che rimangono nascosti sul target in grado di sovvertire le funzionalità di processi esistenti, esfiltrare dati o fornire servizi interni e funzionalità per altri Gremlins. Il payload speciale "AlphaGremlin", ad esempio, fornisce anche un linguaggio di script personalizzato che consente agli operatori di pianificare attività su misura da eseguire sulla macchina di destinazione.

Una volta installato sulla macchina target, AfterMidnight richiama un LP (Listening Post) chiamato "Octopus" basato su HTTPS che controlla la presenza di nuovi piani di esecuzione su un server remoto. Se ce ne sono, scarica e memorizza tutti i componenti necessari prima di caricare nuovi Gremlins in memoria.

Per funzionare AfterMidnight necessita di un costante accesso a Internet, la porzione di memoria locale che utilizza è cifrata con una chiave che non è salvata sulla macchina vittima, inoltre se il malware non riesce a raggiungere l'LP non è in grado di eseguire i Gremlins.

I Gremlins che hanno la capacità di modificare la funzionalità di processi esistenti o nuovi sulla macchina vittima possono ritardare l'esecuzione di un processo, ucciderlo o bloccarlo permanentemente; queste attività possono essere programmate per essere attivate a determinati intervalli di tempo e su specifiche quantità di processi target.