WikiLeaks: Με το Angelfire η CIA μπορεί να “σπάσει” οποιοδήποτε PC με Windows 7/XP

186
Το WikiLeaks, δημοσίευσε έγγραφα που σχετίζονται με το σχέδιο Angelfire της CIA.
Το Angelfire είναι ένα προγραμματιστικό εμφύτευμα που αποτελείται από πέντε στοιχεία: το Solartime, το Wolfcreek, το Keystone (προηγουμένως γνωστού ως MagicWand), του BadMFS και του συστήματος Προσωρινών Αρχείων των Windows.
Όπως και τα προηγουμένως δημοσιευμένα σχέδια της CIA (τα σχέδια Grasshopper και AfterMidnight) στη σειρά Vault7 του WikiLeaks, πρόκειται για ένα επίμονο πλαίσιο το οποίο μπορεί να φορτώσει και να εκτελέσει προσαρμοσμένα εμφυτεύματα σε στοχευμένους ηλεκτρονικούς υπολογιστές όπου εκτελούνται εκδόσεις του λειτουργικού συστήματος Microsoft Windows (XP ή Win7).

Πώς λειτουργεί

Το Solartime τροποποιεί τον τομέα εκκίνησης της κατάτμησης του δίσκου όπου είναι εγκατεστημένο το λειτουργικό σύστημα, έτσι ώστε όταν τα Windows, με την εκκίνησή τους, διενεργούν φόρτωση των προγραμμάτων οδήγησης, απαραίτητων για την ίδια την διαδικασία, φορτώνουν και εκτελούν το στοιχείο Wolfcreek, που, με τη σειρά του, μόλις εκτελεστεί, μπορεί να φορτώσει και να εκτελέσει άλλα εμφυτεύματα του Angelfire. Σύμφωνα με τα έγγραφα, η φόρτωση επιπρόσθετων στοιχείων σε μολυσμένα μηχανήματα δημιουργεί διαρροές μνήμης, οι οποίες πιθανώς να είναι εντοπίσημες.
Το Keystone αποτελεί μέρος του στοιχείου Wolfcreek και είναι υπεύθυνο για την εκκίνηση κακόβουλου λογισμικού στο επίπεδο χρήστη. Τα στοιχεία που έχουν φορτωθεί και εκτελούνται δεν πραγματοποιούν αλλαγές στο σύστημα αρχείων του μολυσμένου υπολογιστή, επομένως υπάρχουν ελάχιστα αποδεικτικά στοιχεία πως η εν λόγω διαδικασία φορτώθηκε και εκτελέσθηκε. Το κακόβουλο αυτό λογισμικό μεταμφιέζεται πάντα ως «C: \ Windows \ system32 \ svchost.exe» και μπορεί έτσι να εντοπιστεί στον διαχειριστή εργασιών των Windows, εάν το λειτουργικό σύστημα είναι εγκατεστημένο σε κατάτμηση με διαφορετικό εναρκτήριο γράμμα (για παράδειγμα D:\ αντί για C:\), ή σε διαφορετική διαδρομή.
Το BadMFS είναι μια βιβλιοθήκη που δημιουργεί ένα κρυφό σύστημα αρχείων το οποίο δημιουργείται στο τέλος της ενεργής κατάτμησης του λειτουργικού (ή σε ένα αρχείο στο δίσκο σε νεότερες εκδόσεις της βιβλιοθήκης). Το κρυφό αυτό σύστημα αρχείων χρησιμοποιείται για την αποθήκευση όλων των οδηγών και των εμφυτευμάτων που θα ξεκινήσει το στοιχείο Wolfcreek.
 Όλα τα αρχεία που το απαρτίζουν είναι κρυπτογραφημένα και κρυμμένα για να μην μπορούν να συμπεριληφθούν σε σάρωση συμβολοσειράς ή κεφαλίδων PE. Ορισμένες εκδόσεις του BadMFS μπορούν να ανιχνευθούν επειδή η αναφορά της θέσης του κρυφού συστήματος αρχείων που δημιουργεί η βιβλιοθήκη αποθηκεύεται σε ένα αρχείο με την ονομασία «zf».
Το σύστημα Προσωρινών Αρχείων των Windows αποτελεί τη νέα μέθοδο εγκατάστασης του AngelFire. Αντί να δημιουργήσει ανεξάρτητα στοιχεία στο δίσκο, το σύστημα επιτρέπει σε έναν χειριστή τη δημιουργία προσωρινών αρχείων για συγκεκριμένες ενέργειες, συμπεριλαμβανομένης της εγκατάστασης, της προσθήκης αρχείων στο AngelFire, της αφαίρεσης αρχείων από το AngelFire κλπ. Τα προσωρινά αρχεία προστίθενται στο «UserInstallApp».