Wikileaks: Umbrage team, ecco come la CIA organizza operazioni sotto copertura e infetta Windows

Mentre in rete si diffondono le ultime rivelazioni di Wikileaks relative alle attività della CIA, nuovi interessanti dettagli emergono sulla struttura dell’intelligence americana. All’interno della preziosa collezione di file ottenuta da Wikileaks vi è esplicito riferimento ad un gruppo denominato “Umbrage team” la cui responsabilità principale è la gestione di un archivio contenente informazioni e strumenti utilizzati da altri attori malevoli in precedenti attacchi.

Come agisce l’Umbrage Team

Il gruppo Umbrage è sotto il controllo della divisione Remote Development Branch all’interno del CIA Center for Cyber Intelligence.

Ma per quali motivi mantenere una libreria di tool e tecniche di attacco condotti da altri stati e non-state actors?

Diverse sono le ragioni, come, probabilmente, la volontà di costituire un archivio per attività forensi che consentano agli esperti americani di individuare con maggior precisione eventuali legami con precedenti offensive ed attori malevoli responsabili di altre campagne in caso di attacco. Ma in realtà vi sono altre spiegazioni plausibili quali:

• Ridurre i costi ed i tempi per lo sviluppo ex novo di tool per condurre campagne di hacking.
• Rendere complessa l’attribuzione di un cyber attacco simulando le tecniche di hacking notoriamente associate ad altri attori malevoli.

Tool, Rat e malware per attaccare il nemico

Andando a guardare in dettaglio i file relativi alla libreria manutenuta dalla divisione della CIA, salta subito agli occhi la presenza di un tool chiamato Rebound.
Si tratta di un malware che implementa metodiche in uso dal temuto Shamoon malware, un codice malevolo in grado di cancellare i dati presenti sul disco rigido della vittima e di rendere inutilizzabile il PC. Shamoon fu scoperto per la prima volta nel 2012, quando in un attacco contro la compagnia petrolifera saudita Saudi Aramco provocò il blocco di più di 30.000 computer.

Il malware Shamoon, nella sua variante originale, utilizza un driver firmato digitalmente, RawDisk, e sviluppato dall’azienda Eldos.

Gli hacker dell’Umbrage team hanno riprodotto esattamente la medesima tecnica per bypassare il controllo della licenza del RawDisk driver ed utilizzarlo nella procedura per la cancellazione dei dati presenti sul disco.
In questo modo Shamoon e Rebound possono essere facilmente confusi, creando notevoli problemi a coloro che analizzano i codici malevoli.

Il gruppo di esperti della CIA ha molte altre tecniche e strumenti nel suo arsenale. Ad esempio, essi sono in grado di riprodurre una tecnica di persistenza implementata on origine dal rootkit HiKit.

Non solo, il membri del Team sono in grado di riprodurre la funzionalità di cattura delle immagini dalla webcam utilizzata dal Rat (Remote access tool) DarkComet così come le tecniche di evasione delle sandbox implementate dal TrojanUpclicker e dall’Exploit Kit Nuclear.

Le operazioni sotto copertura (False flag)

Le operazioni di false flag della CIA non potevano non utilizzare anche codice trapelato nel 2015 dopo la violazione di dati delle società di sorveglianza italiana Hacking Team.

Gli esperti della CIA hanno concentrato i loro sforzi sulla realizzazione di una serie di impianti utilizzati dall’azienda milanese progettati specificamente per compromettere i sistemi Windows.

Quanto emerge dai documenti inerenti l’Umbrage Team deve indurci a riflettere seriamente sulla reale complessità della attribuzione di un attacco cibernetico ed alla possibilità che esso inneschi una risposta militare o diplomatica di uno stato o di una coalizione obiettivo di una offensiva dal cyber spazio.

Molte altre agenzie di intelligence potrebbero aver utilizzato una tecnica simile per ingannare gli investigatori delle principali aziende di sicurezza, con ovvie ripercussioni dell’eventuale attribuzione dei passati attacchi.