WikiLeaks a été assez régulièrement publier des documents à partir de ce qui est connu comme le “coffre-fort 7” fuites, et maintenant de la documentation a été publié sur un outil appelé “Aeris” qui cible spécifiquement POSIX systèmes tels que quelques Distributions GNU/Linux.
Publié sur WikiLeaks hier, a des renseignements concernant le “Impériale” du projet de la CIA,
Aeris est un système automatisé de l’implant écrit en C qui prend en charge un certain nombre de POSIX (Debian, RHEL, Solaris, FreeBSD, CentOS). Il prend en charge fichier automatisé exfiltration, le paramétrage de l’intervalle de balise et de la gigue, autonome et entrent en Collision basé sur HTTPS LP de soutien et de prise en charge du protocole SMTP – tous de communications cryptées avec le protocole TLS avec authentification mutuelle.
Il est compatible avec le NOD Cryptographiques Spécification et offre structurée de commande et de contrôle qui est similaire à celle utilisée par plusieurs Fenêtres implants.
Cet article se concentrera spécifiquement sur Aeris cependant.
Quel est-il?
Aeris semble être un implant qui est conçu pour permettre à un agent pour récupérer et envoyer des informations sur le système infecté par TLS chaînes cryptées.
Il y a plusieurs voies pour la transmission d’informations telles que les systèmes de messagerie comme Postfix, qui permettent à l’agent d’envoyer massivement des informations chiffrées pour la destination désigné dans une quasi-incassable mode à l’aide du chiffrement AES256.
Quels sont les systèmes ciblés?
- Linux Debian 7 (i386)
- Linux Debian 7 (amd64)
- Linux Debian 7 (BRAS)
- Red Hat Enterprise Linux 6 (i386)
- Red Hat Enterprise Linux 6 (amd64)
- Solaris 11 (i386)
- Solaris 11 (SPARC)
- FreeBSD 8 (i386)
- FreeBSD 8 (amd64)
- CentOS 5.3 (i386)
- CentOS 5.7 (i386)
La distribution d’Aeris se compose d’un ensemble de Python services publics et d’un ensemble de binaires, l’un par la plate-forme qui est ciblé par Aeris.
Aeris ne dispose pas d’un programme distinct. Pour l’appliquer, il suffit de placer un Aeris binaire dans le
le répertoire désiré. Renommer le fichier binaire en aucune façon que vous désirez. Notez que la configuration
est patché en au moment de la construction; par conséquent, aucun des fichiers supplémentaires (au-delà peut-être ceux liés à
persistance-voir la section suivante) sont nécessaires.
Et alors?
Alors que beaucoup de gens peuvent voir ce sur un plan politique, ou sur le sujet de la vie privée de plaidoyer, etc, je regarde cela d’un point de vue de la sécurité de l’avenir.
Dans le passé, les logiciels malveillants qui a causé des problèmes pour la population en général a été basée sur le gouvernement, les programmes malveillants, tels que WannaCry par exemple. WannaCry a d’abord été fondée sur EternalBlue, que beaucoup attribuent à la NSA.
Lire aussi: le Vin 2.0 est maintenant disponible
Avec la publication de cette information sur Aeris, j’ai peur que le black-hat (lire: les mauvais pirates) peuvent obtenir leurs mains sur / développer quelque chose de similaire, et utiliser les méthodes décrites dans la documentation en fins malveillantes.
Toutefois, cela étant dit, la plupart des utilisateurs ont très peu à s’inquiéter, et à moins qu’un serveur a une raison d’être ciblée; une fois encore, il ne devrait pas vraiment besoin de s’inquiéter. Mais, s’éduquer soi sur le sujet n’est jamais une mauvaise chose!
Euh…
Dans le Manuel, il est plutôt amusant le cadre d’un paragraphe que j’ai pensé que je pourrais observer:
Chaque implant exemple, a une unique autorité de certification associée. Le CA de la clé privée est utilisée pour signer l’implant du certificat ainsi que des certificats pour chaque LP associés avec l’implant en question.
Si quelqu’un lit ce paragraphe, il ou elle a droit à un petit prix en argent de courtoisie de l’Aeris chef d’équipe. Implant les données collectées ne peuvent pas être déchiffrées sans le CA de la clé privée; par conséquent, cette clé est considéré comme SECRET//NOFORN et doit être maintenue sur un réseau classifié. L’ensemble des clés et des certificats (CA, la cible, et LP) sont 2048 bits.
Réflexions Finales
Beaucoup de gens aiment à penser que les systèmes GNU/Linux sont invincibles, et que tout simplement en exécutant un système basé sur Linux, vous êtes totalement à l’abri de malware et autres; ces versions sont juste une preuve supplémentaire que ce n’est pas le cas; espérons simplement que plus les utilisateurs malveillants là ne pas essayer de tirer parti de ces nouveaux outils!
Pour ceux qui souhaitent voir les informations sur Aeris, vous pouvez trouver le manuel ici (PDF).