Sotto mentite spoglie

Per coprire le proprie attività di controllo, la Central Intelligence Agency ha assunto una clamorosa falsa identità, quella di Eugene Kaspersky!

La nuova serie di documenti pubblicati da WikiLeaks sotto il nome Vault 8 non svela nuove attività dell’Agenzia, ma si limita a divulgare i codici sorgente delle soluzioni software utilizzate. La strategia portata avanti dalla CIA si basa su uno schema semplice ed efficace: installare sulla macchina target un malware, in grado sia di ricevere comandi sia di inviare dati raccolti sul PC infetto, per consentire ogni genere di operazione. Ma chi è l’interlocutore con cui il malware intrattiene scambi d’informazioni? Si tratta di server nascosti, detti Blot, allestiti dalla stessa CIA e parte di un’architettura assai più complessa. La serie Vault 8 si incarica, appunto, di approfondire nei dettagli tecnici il modus operandi di simili attività “coperte”.

Hive, Command and Control

L’infrastruttura per il controllo del malware Hive è un esempio della sinergia nel rilascio dei documenti da parte di WikiLeaks. Con Vault 7 aveva reso pubblici i documenti che ne certificavano l’esistenza e l’attività fino al 2015, con Vault 8 ne spiega il funzionamento, pubblicando i sorgenti e analizzando in maniera più articolata una vera e propria infrastruttura di command-and-control, o più brevemente server C&C. La sua complessità e la capacità di far perdere le tracce dei dati in transito hanno messo in difficoltà anche un colosso della sicurezza informatica come Symantec, che aveva rilevato attività online riconducibili a Hive e agli strumenti descritti in seguito da WikiLeaks, ma senza poter dimostrare, a differenza dell’organizzazione di Assange, il collegamento con la CIA.

Se vuoi sapere come funziona questo malware e perché abbiamo citato Eugene Kaspersky non perdere il numero 217 di Hacker Journal in edicola o in digitale.