domingo, 12 de março de 2017

Julian Assange revela a Guerra Cibernética da CIA

Publicado por: WikiLeaks
Traduzido por: Jean A. G. S. Carvalho


Comunicado de Imprensa

Hoje, terça-feira, dia 7 de março de 2017, o WikiLeaks começa sua nova série de divulgações de dados sobre a Agência Central de Inteligência dos EUA [CIA - Central Intelligence Agency][1]. Codificado com o nome de "Vault 7" [Cofre 7] pelo WikiLeaks, trata-se da maior publicação de documentos confidenciais sobre a Agência.

A primeira parte completa da série, "Year Zero"[2] [Ano Zero], é composta por 8.761 documentos e arquivos de uma rede isolada de alta segurança, situada dentro do Centro de Inteligência Cibernética [Center of Cybernetic Intelligence][3] da CIA, em Langley Virgina. Segue-se uma divulgação introdutória feita no mês passado pela CIA, visando os partidos políticos e candidatos franceses na preparação para a eleição presidencial de 2012.

Recentemente, a CIA perdeu o controle da maioria de seu arsenal de instrumentos de hacking[4], incluindo malware[5], vírus, trojans, ataques armados de "zero day", sistemas de controle remoto de malware e documentação associada. Essa coleção extraordinária, que equivale a mais de várias centenas de milhões de linhas de código, dá ao seu possuidor toda a capacidade de hacking da CIA. O arquivo parece ter circulado (de maneira não autorizada) entre antigos hackers contratados pelo governo dos Estados Unidos, um dos quais forneceu ao WikiLeaks partes desse arquivo.
O "Year Zero" apresenta o escopo e a direção do programa global de hacking da CIA, seu arsenal de malwares e dezenas de ataques armados com o "Day Zero" contra uma ampla gama de produtos de empresas americanas e europeias, incluindo a linha iPhone da Apple, e até mesmo TVs Samsung, que são transformados em microfones encobertos.

Desde 2001, a CIA ganhou preeminência política e orçamentária sobre a Agência Nacional de Segurança dos EUA (NSA). A CIA viu-se construindo não apenas a sua agora infame frota de aviões não tripulados, mas um tipo muito diferente de força secreta e abrangente - a sua própria frota substancial de hackers. A divisão de hacking da agência fez com que ela não tivesse de divulgar suas operações, muitas vezes controversas, para a NSA[6] [
National Security Agency - Agência Nacional de Segurança], seu principal rival burocrático, a fim de aproveitar as capacidades de hacking da NSA.

Por volta do final do ano de 2016, a divisão de hackers da CIA, formalmente abrangida pelo Centro de Inteligência Cibernética [Center for Cyber Intelligence] da agência, contava com mais de 5.000 usuários cadastrados e produzia mais de mil sistemas de hackers, trojans, vírus e outros malwares "armados" . Tal é a escala do compromisso da CIA que, em 2016, seus hackers[7] haviam utilizado mais códigos do que todo o montante usado para manter todo o Facebook. A CIA criou, de fato, sua "NSA própria", com menos responsabilidade e sem dar contas publicamente sobre sua despesa orçamentária maciça para duplicar as capacidades de uma agência rival, nem como isso poderia ser justificado.

Em uma declaração à WikiLeaks, a fonte anônima detalha as questões políticas que precisam ser debatidas em público urgentemente, inclusive se as capacidades de hacking da CIA excedem seus poderes legais e o problema da supervisão pública da agência. A fonte deseja iniciar um debate público sobre a segurança, a criação, o uso, a proliferação e o controle democrático das armas cibernéticas.Uma vez que uma única "arma" cibernética tenha sido "solta", ela pode se espalhar pelo mundo em segundos, para ser usada por Estados rivais, pela máfia cibernética ou até mesmo por hackers adolescentes.

Julian Assange, editor do WikiLeaks, afirmou que "existe um risco extremo de proliferação no desenvolvimento de
armas cibernéticas". Pode-se fazer comparações entre a proliferação descontrolada de tais "armas", resultante da incapacidade de conter essas armas e o valor do comércio global de armas, mas o significado do "Zero Year" vai muito além da escolha entre cyberwar [ciberguerra] e cyberpeace [ciberpaz]. A revelação também é excepcional do ponto de vista político, legal e forense. 

O Wikileaks revisou cuidadosamente a divulgação do "Year Zero" e publicou uma documentação substancial da CIA, evitando a distribuição de armas cibernéticas até que um consenso emerja sobre a natureza técnica e política do programa da CIA, além de como tais armas devem ser analisadas, desarmadas e divulgadas.

O Wikileaks também decidiu redigir e manter como anônimas algumas informações de identificação contidas no "Year Zero" para análise em profundidade. Estas redações incluem dezenas de milhares de alvos da CIA e máquinas de ataque espalhadas em toda a América Latina, Europa e Estados Unidos. Embora estejamos cientes dos resultados imperfeitos de qualquer abordagem escolhida, continuamos comprometidos com nosso modelo de publicação e observamos que a quantidade de páginas publicadas no "Vault 7" parte do "Year Zero", que já eclipsa o número total de páginas publicadas durante os três primeiros anos dos vazamentos feitos por Edward Snowden sobre a NSA.

Análise  

O malware da CIA tem como alvos o iPhone, o Android e as smart TVs 

O malware da CIA e as ferramentas de hacking são construídos por um EDG (Engineering Development Group - Grupo de Desenvolvimento de Engenharia), um grupo de desenvolvimento de software dentro do CCI (Center for Cyber ​​Intelligence - Centro para Inteligência Cibernética), um departamento pertencente ao DDI (Directory of Digital Innovation - Diretório de Inovação Digital), ligado à CIA. O DDI é uma das cinco principais diretorias da CIA (veja este organograma da CIA para mais detalhes).

O EDB [
Embedded Devices Branch - Ramificação de Dispositivos Incorporados] é responsável pelo desenvolvimento, teste e suporte operacional de todos os backdoors, explorações, cargas maliciosas, trojans, vírus e qualquer outro tipo de malware usado pela CIA em suas operações secretas ao redor do tempo.

A crescente sofisticação das técnicas de vigilância nos permite fazer comparações com a obra de George Orwell, intitulada "1984", já que o "Weeping Angel"[8] [Anjo Choroso], desenvolvido pelo EDB da CIA, que infesta as TVs inteligentes, transformando-as em microfones encobertos, é certamente a sua realização mais emblemática.
 

O ataque contra as smart TVs da Samsung foi desenvolvido em cooperação com o MI5[] [Security Service - Serviço de Segurança] / BTSS, o serviço secreto do Reino Unido. Após a infestação, o Weeping Angel coloca a TV alvo num módulo de "Fake-Off" [Falso Desligamento], de modo que o proprietário acredita falsamente que a TV está desligada, quando, na verdade, ela continua em funcionamento. No modo "Fake-Off", a TV funciona como um bug, gravando conversas no ambiente e enviando-as através da Internet para um servidor secreto da CIA.

A partir de outubro de 2014, a CIA também começou a buscar meios para infectar os sistemas de controle de veículos usados ​​por carros e caminhões modernos.
A finalidade de tal controle não é especificada, mas permitiria que a CIA se envolvesse em assassinatos quase indetectáveis. A divisão de dispositivos móveis da CIA desenvolveu inúmeros ataques para remotamente hackear e controlar smartphones. Os telefones infectados podem ser instruídos a enviar à CIA a geolocalização do usuário, as comunicações de áudio e de texto, bem como ativar secretamente a câmera e o microfone do aparelho.

Apesar da participação minoritária do iPhone (14,5%) no mercado mundial de smartphones em 2016, uma unidade especializada do Departamento de Desenvolvimento Móvel da CIA produziu um malware para infestar, controlar e roubar dados de iPhones e outros produtos da Apple que executam o sistema iOS, como iPads.
O arsenal da CIA inclui inúmeros "Day Zero", locais e remotos, desenvolvidos pela CIA ou obtidos do GCHQ[9] [
Government Communications Headquarters - Sede das Comunicações Governamentais], da NSA, do FBI [Federal Bureau of Investigation - Departamento Federal de Investigação] ou adquiridos de contratistas de armas cibernéticas como a Baitshop.  

O foco desproporcional no iOS pode ser explicado pela popularidade do iPhone entre as elites sociais, políticas, diplomáticas e empresariais. Uma unidade similar tem como alvo o Google Android, que é usado como sistema operacional pela maioria dos smartphones do mundo (85%); se somarmos a Samsung, a HTC e a Sony., teremos 1,15 bilhões de smartphones que usam o sistema Android e que foram vendidos só no ano passado. O "Year Zero" mostra que, a partir de 2016, a CIA tinha 24 "armas" do tipo "Zero Day"[10] voltadas para Android, desenvolvidas e obtidas pela GCHQ, pela NSA e por cyber weapons [ciberarmamentos]. 

Essas técnicas permitem que a CIA ignore a criptografia do WhatsApp, do Signal, do Telegrama, do Wiebo, do Confide e do Cloackman, invadindo os telefones "inteligentes" que executam esses sistemas, coletando o tráfego de áudio e as mensagens, antes que a criptografia seja aplicada. 


Os malwares da CIA são direcionados para sistemas Windows, OSx, Linux e roteadores

A CIA também executa um esforço muito substancial para infectar e controlar os usuários dos sistemas Microsoft Windows com seus malware. Isso inclui vários tipos de vírus locais e remotos da classe "Day Zero", além de vírus de salto de ar, como o "Hammer Drill" [Furadeira], que infecta softwares distribuídos por meio de CDs e DVDs, infectando também mídias removíveis, como USBs, portando sistemas para ocultar dados em imagens ou em áreas de disco secreto ("Canguru Brutal") e para manter suas infestações de malware em andamento.

Muitos destes esforços de infecção são realizados junto ao Ramo Automatizado de Implantes (Automated Implants Branch - AIB)[11] da CIA, que desenvolveu vários sistemas de ataque para infestação automatizada e controle de malware para a CIA, como o "Assassin" [Assassino] e a "Medusa". Os ataques contra a infra-estrutura da Internet e os servidores web são desenvolvidos pela Rede de Dispositivos da Rede (NDB) da CIA.

A CIA desenvolveu sistemas automatizados de ataque e controle de malware multiplataforma que cobrem Windows, Mac OS X, Solaris, Linux e outros, como o "HIVE" da EDB e as ferramentas "Cutthroat" [Assassino] e "Swindle" [Embuste] relacionadas, descritas nos exemplos abaixo.
 

Vulnerabilidades "amontoadas" da CIA ("Zero Days")

Na esteira dos vazamentos de Edward Snowden sobre a NSA, a indústria de tecnologia dos EUA garantiu um compromisso por parte da administração Obama de que o Executivo divulgaria de forma contínua - ao invés de "pacotes" - as vulnerabilidades sérias, explorações, bugs ou "Zero Day" para a Apple, Google, Microsoft e outros fabricantes com sede nos EUA.

Vulnerabilidades não reveladas aos fabricantes colocam vastas áreas da população e infraestruturas críticas em situação de risco para a inteligência estrangeira ou cibercriminosos que descobrem ou ouvem rumores, independentes da vulnerabilidade. Se a CIA pode descobrir tais vulnerabilidades, outros também podem fazer isso.

O compromisso do governo dos EUA com o Processo de Equidade de Vulnerabilidades [
Vulnerability Equity Process] ocorreu após a formação de um lobby significativo por parte de empresas de tecnologia dos EUA, que correm o risco de perder sua participação no mercado global em relação a vulnerabilidades ocultas, reais e percebidas. O governo declarou que divulgaria todas as vulnerabilidades difundidas descobertas desde 2010, de forma contínua.

Documentos sobre o "Year Zero" mostram que a CIA violou os compromissos do governo Obama. Muitas das vulnerabilidades usadas no arsenal cibernético da CIA são difundidas, e algumas já podem ter sido encontradas por agências de inteligência rivais ou criminosos cibernéticos.

Por exemplo: há um malware específico da CIA revelado no "Year Zero" que é capaz de penetrar, infestar e controlar tanto o telefone Android quanto o software do iPhone, o que tem corrido com contas presidenciais no Twitter. A CIA ataca este software usando vulnerabilidades de segurança não reveladas ("Zero Days") que são guardadas pela CIA; mas, se a CIA pode cortar esses telefones, então todos também podem ter obtido ou descoberto essa mesma vulnerabilidade. Enquanto a CIA mantiver essas vulnerabilidades ocultas da Apple e do Google (que fabricam esses telefones), elas não serão corrigidas e os telefones permanecerão hackeáveis.

As mesmas vulnerabilidades existem para a população em geral, incluindo o Gabinete dos EUA, o Congresso, CEOs, administradores de sistemas, oficiais de segurança e engenheiros. Ao ocultar essas falhas de segurança de fabricantes como Apple e Google, a CIA garante que seja possível cortar toda a conexão do mundo, às custas de fazer com que todos os que estão conectados fiquem hackeáveis.


Os programas de "Cyberwar" [Ciberguerra] sofrem grave risco de proliferação 

Não é possível manter as cyberarmas sob um controle efetivo.

Embora a proliferação nuclear tenha sido restringida pelos enormes custos com infraestrutura visível envolvidos na montagem de material cindível suficiente para produzir uma massa nuclear crítica, as "armas" cibernéticas, uma vez desenvolvidas, são muito difíceis de controlar.

Cyber ​​"armas" são, de fato, apenas programas de computador que podem ser pirateados como qualquer outro - uma vez que eles são inteiramente compostos por informações que podem ser copiadas rapidamente, sem custo marginal.

Proteger essas "armas" é particularmente difícil, uma vez que as mesmas pessoas que as desenvolvem e as utilizam têm a capacidade de desviar cópias sem deixar vestígios - às vezes usando as mesmas "armas" contra as organizações que as possuem. Existem incentivos de preços substanciais para hackers e consultores do governo para obter cópias dessas armas cibernéticas, uma vez que existe todo um "mercado de vulnerabilidade" global que pagará centenas de milhares (e até milhões de dólares) por cópias dessas "armas". Do mesmo modo, os empreiteiros e as empresas que obtêm essas "armas" às vezes as usam para seus próprios fins, obtendo vantagens sobre seus concorrentes na venda de serviços de "hacking".

Nos últimos três anos, o setor de inteligência dos Estados Unidos, formado por agências governamentais como a CIA e a NSA (e seus contratados), como Booz Allan Hamilton[12], foi submetido a uma série sem precedentes de tráfico de dados feitas por seus próprios funcionários.Vários membros da comunidade de inteligência que ainda não foram nomeados publicamente foram presos ou sujeitos a investigações criminais federais em incidentes separados.

Mais visivelmente, em 8 de fevereiro de 2017, um grande júri federal estadunidense intimou Harold T. Martin III[13] com 20 acusações de má informação classificada. O departamento de justiça alegou que apreendeu aproximadamente 50.000 gigabytes de informações que Harold T. Martin III havia obtido sobre os programas confidenciais da NSA e da CIA, incluindo o código fonte para "ferramentas de corte" múltiplas.

Quando uma única "arma" cibernética é "solta", ela pode se espalhar pelo mundo em questão de segundos, para ser usada por Estados, máfias cibernéticas e até mesmo hackers adolescentes.


O Consulado dos EUA em Frankfurt é uma base secreta de hackers da CIA

Além de suas operações em Langley, na Virgínia, a CIA também usa o consulado dos EUA em Frankfurt como uma base secreta para seus hackers, cobrindo a Europa, o Oriente Médio e a África.Os hackers da CIA que operam fora do consulado de Frankfurt (Center for Cyber Intelligence on Europe - Centro de Cyber ​​Inteligência na Europa", ou CCIE) recebem passaportes diplomáticos ("negros") com capas do Departamento de Estado.  

As instruções para os hackers que chegam da CIA fazem com que os esforços da contra-inteligência alemã parecem inconsequentes: "Murmure para os funcionários da alfândega alemã, porque você tem sua história de álibi para agir, e tudo o que eles fazem é carimbar o seu passaporte".

Essa é a história de álibi para os agentes em viagem:

P: Por que você está aqui? 
R: Apoiar consultas técnicas no Consulado.

Duas publicações anteriores do WikiLeaks fornecem mais detalhes sobre as abordagens da CIA aos procedimentos alfandegários e de triagem secundária.

Uma vez em Frankfurt, os hackers da CIA podem viajar sem passar por outras verificações nas fronteiras dos 25 países europeus que fazem parte da área de fronteira aberta de Shengen - incluindo a França, a Itália e a Suíça.

Uma série de métodos de ataque eletrônico usados pela CIA são projetados para proximidade física. Estes métodos de ataque são capazes de penetrar redes de alta segurança que são ficam desconectadas da internet, como a base de dados de registro da polícia. Nesses casos, um agente da CIA, agente ou agente de inteligência aliado agindo sob instruções, fisicamente infiltra o local de trabalho alvo. O atacante é fornecido com um USB contendo um tipo de malware desenvolvido pela CIA para este propósito, que depois é inserido no computador alvo. 

O atacante então infecta e rouba dados para a mídia removível. Por exemplo, o sistema de ataque da CIA, o Fine Dining [Jantar de Gala], oferece 24 aplicativos de chamariz para os espiões da CIA usarem. Para os desatentos , o espião parece estar executando um simples programa de execução de vídeos (por exemplo, o VLC), apresentando slides (Prezi), jogando um jogo de computador (Breakout2, 2048) ou mesmo executando um scanner de vírus falso (Kaspersky, McAfee, Sophos). Mas, enquanto o aplicativo de chamariz está na tela, o sistema de underlaying [subjacente] é automaticamente infectado e saqueado.


Como a CIA aumentou drasticamente os riscos de proliferação

Naquele que é, certamente, um dos mais espantosos objetivos próprios de inteligência que nos vêm à memória, está o fato de a CIA ter estruturado seu regime de classificação de modo que, para a parte mais valiosa do mercado de "Vault 7" [Cofre 7] -, o malware armado da CIA (implantes + zero days) LP e Sistemas de Comando e Controle (C2) - a agência precisa de muito pouco recurso legal. A CIA tornou esses sistemas desclassificados.

A razão pela qual a CIA optou por tornar o seu ciberespaço não classificado revela como os conceitos desenvolvidos para uso militar não se cruzam facilmente no "campo de batalha" da "guerra" cibernética.Para atacar seus alvos, a CIA geralmente exige que seus implantes se comuniquem com seus programas de controle pela internet. Se os implantes da CIA, como o Command & Control [Comando e Controle] e o software Listening Post [Posto de Escuta] fossem classificados, então os oficiais da CIA poderiam ser processados ou demitidos por violação às regras que proíbem a colocação de informações classificadas na Internet. 

Consequentemente, a CIA tornou, de modo secreto, a maior parte da sua ciberespionagem e de seu
código de guerra em elementos não classificados. O governo dos EUA não é capaz de fazer valer direitos de autoria, graças a algumas restrições na Constituição dos EUA. Isso significa que as cyber "armas", seus fabricantes e os hackers podem livremente "piratear" essas "armas", se conseguirem obtê-las. A CIA teve principalmente de confiar em ações de sigilo para proteger seus segredos de malware.

Armas convencionais, como mísseis, podem ser disparadas contra o inimigo (ou seja, para uma área não segura). A proximidade ou o impacto com o alvo detonam o armamento, incluindo suas partes classificadas. Assim, os militares não violam as regras de classificação ao disparar munições com peças classificadas. O projétil provavelmente acaba explodindo. Se isso não acontecer, essa não terá sido a intenção do operador.

Durante a
década passada, as operações dos hackers nos EUA foram cada vez mais revestidas dum jargão militar para explorar os fluxos de financiamento do Departamento de Defesa. Por exemplo, as tentativas de realizar "injeções de malware" (um simples jargão comercial) ou "despejo de implantes" (só mais um ''termo'' da NSA) estão sendo simplesmente registrados como "disparos". como se uma arma estivesse sendo disparada. No entanto, a analogia é questionável.

Ao contrário das balas, bombas ou mísseis, a maioria dos malwares da CIA são projetados para ''viver'' por dias (ou até anos) depois atingir o "alvo". Os malware da CIA não "explodem no impacto", mas infestam permanentemente seu alvo. Para infectar o dispositivo alvo, cópias do malware devem ser colocadas em seus dispositivos, dando a posse física do malware ao alvo.

Para roubar dados e desviá-los para a CIA, ou para aguardar instruções adicionais, o malware deve se comunicar com os sistemas Command & Control (C2) da CIA, colocados em servidores conectados à Internet. Porém, esses servidores normalmente não recebem aprovação para manter informações classificadas; portanto, os sistemas de comando e controle da CIA também são feitos sem qualquer classificação.

Um "ataque" bem-sucedido ao sistema de computador de um alvo age mais como uma série de manobras de estoque complexas em uma oferta de compra hostil ou como o planejamento cuidadoso de boatos para ganhar controle sobre a liderança de uma organização, do que como um disparo único de um sistema de armas. Se há uma analogia militar a ser feita, a infestação de um alvo é talvez semelhante à execução de toda uma série de manobras militares contra o território do alvo, incluindo observação, infiltração, ocupação e exploração.

Escapando de investigações e evitando antivírus

Uma série de métodos da  CIA estabelece padrões de infestação de malware para evitar traços que poderiam auxiliar os investigadores criminalistas, bem como a Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens e empresas de antivírus, que fazem atribuições e defesas contra ataques.

O chamado "Tradecraft DO's and DON'Ts"[14] contém regras da CIA sobre como seus malware devem ser escritos, a fim de evitar impressões digitais que comprometam a CIA, o governo dos EUA ou suas empresas parceiras "em processo de revisão forense". Padrões secretos semelhantes cobrem o uso da criptografia para ocultar a comunicação e o hacker da CIA (pdf), descrevendo destinos e dados desviados (pdf), além de executar cargas úteis (pdf) e persistentes (pdf) nas máquinas do alvo ao longo do tempo.

 Os hackers da CIA desenvolveram ataques bem-sucedidos contra os programas antivírus mais conhecidos. Estes são documentados em AV Defeats, Produtos de Segurança Pessoal, e Detecting and Defeatin PSPs & PSP / Debugger / RE Avoidance. Por exemplo: o antivírus Comodo foi derrotado pelo malware da CIA, instalando-se na "Lixeira" do sistema Windows. O Comodo 6.x tem um sistema de "Gaping Hole of DOOM"[15].Os hackers da CIA discutem sobre aquilo que os hackers do "Equation Group" [Grupo Equação] da NSA fizeram (ou fazem) de errado, e sobre como os fabricantes de malware da CIA poderiam evitar exposições semelhantes.


Exemplos

O sistema de gerenciamento do Grupo de Desenvolvimento de Engenharia [Engineering Development Group] (o EDG) da CIA contém cerca de 500 projetos diferentes (apenas alguns deles são documentados pelo "Year Zero"), cada um com seus próprios subprojetos, malware e ferramentas de hackers.

A maioria desses projetos está relacionada a ferramentas que são usadas para penetração, infestação ("implantação"), controle e tráfico de informações.

Outro ramo do desenvolvimento centra-se no aprimoramento e na operação de Postos de Escuta (Listening Posts - LP) e Sistemas de Comando e Controle (C2), usados para se comunicar com implantes e para controlar esses implantes da CIA; projetos especiais são usados para direcionar hardware específico de roteadores para smart TVs.

Alguns exemplos desses projetos são descritos abaixo, mas é importante que você veja o índice para a lista completa de projetos descritos pelo "Year Zero" do WikiLeaks.


UMBRAGE [Ressentimento] 

A mão da CIA forjou técnicas de hacking que representam um problema para a própria agência. Cada técnica criada forma uma "impressão digital" que pode ser usada por investigadores forenses para atribuir vários ataques diferentes à mesma entidade.Isto é análogo a encontrar o mesmo ferimento distintivo da faca em múltiplas vítimas de assassinato separadas. O estilo padronizado de ferimento cria a suspeita de que um único assassino é o responsável pelos crimes.  

Assim que um assassinato é resolvido, em seguida, os outros assassinatos também encontram uma atribuição provável.O grupo UMBRAGE[16] [RESSENTIMENTO] da Agência de Dispositivos Remotos [Remote Device Agency] da CIA coleta e mantém uma biblioteca substancial de técnicas de ataque "roubadas" de malware produzido em outros Estados, incluindo a Federação Russa. 

Com o UMBRAGE e outros projetos relacionados, a CIA não só pode aumentar seu número total de tipos de ataque, mas também pode atribuir ataques equivocadamente, deixando para trás as "impressões digitais" dos grupos dos quais as técnicas de ataque foram roubadas[17].Os componentes do UMBRAGE incluem keyloggers[18], capturas de senha, captura de webcam, destruição de dados, persistência, escalonamento de privilégios, ações de stealth [furtividade], prevenção contra vírus (PSP) e técnicas de levantamento. 
 

Fine Dinning [Jantar de Gala] 

O Fine Dining [Jantar de Gala] vem com um questionário padronizado, ou seja, um menu que os oficiais da CIA podem preencher. O questionário é utilizado pela OSB [Operational Support Branch - Agência de Apoio Operacional] para transformar as solicitações de casos de agentes em requisitos técnicos para ataques de hackers (normalmente "vazando" informações de sistemas de computador) em operações específicas. O questionário permite que a OSB saiba como adaptar as ferramentas existentes para a operação e comunique isso à equipe de configuração de malware da CIA.  

A OSB funciona como a interface entre o pessoal operacional da CIA e o pessoal de suporte técnico relevante.Entre a lista de possíveis alvos da coleção estão a "Asset", a "Liason Asset", o "Administrador do Sistema", as "Operações de Informação Estrangeira", as "Agências de Inteligência Estrangeira" e as "Entidades Governamentais Estrangeiras". 

 Não há qualquer referência a extremistas ou criminosos transnacionais. O "Case Officer" [Oficial de Caso] também é solicitado para que especifique o ambiente do alvo, como o tipo de computador, o sistema operacional utilizado, a conectividade à Internet e os utilitários antivírus instalados (PSPs)[19], bem como uma lista de tipos de arquivos a serem roubados, como documentos do Office , arquivos de áudio, vídeo, imagens ou outros tipos de arquivo personalizados.  

O 'menu' também pede informações se o acesso recorrente ao alvo for possível, e por quanto tempo o acesso não observado ao computador pode ser mantido. Esta informação é usada pelo software 'JQJIMPROVISE' da CIA (veja abaixo) para configurar um conjunto de malware da CIA que seja adequado às necessidades específicas duma operação.
 
  
Improvisar (JQJIMPROVISE)

O 'Improvise' [Improvisar] é um conjunto de ferramentas para configuração, pós-processamento, configuração de carga útil e seleção de vetor de execução para ferramentas de levantamento / vazamento de dados que suporta todos os principais sistemas operacionais, como Windows (Bartender), p MacOS (JukeBox) e o Linux (DanceFloor). Suas utilidades de configuração, como o Margarita, permitem que o NOC (Network Operation Center - Centro de Rede de Operação) personalize ferramentas baseadas em requisitos de perguntas de "Fine Dining".


Hive [Colmeia]
 
A HIVE [Colmeia] é uma suíte multiplataforma de malware da CIA, além de ser seu software de controle associado. O projeto fornece implantes personalizáveis ​​para sistemas Windows, Solaris, MikroTik (usado em roteadores de Internet) e plataformas Linux, além de uma infraestrutura de Post (LP) / Command and Control (C2) para se comunicar com esses implantes.

Os implantes são configurados para se comunicar via HTTPS[720] com o servidor web de um domínio de cobertura; cada operação que utiliza estes implantes tem um domínio de cobertura separado e a infraestrutura pode tratar qualquer número de domínios de cobertura.

Cada domínio de capa dá uma solução específica para determinado endereço IP que está localizado em um fornecedor comercial VPS (Virtual Private Server - Servidor Particular Virtual). O servidor de frente ao público reencaminha todo o tráfego de entrada através de uma VPN [Virtual Private Network - Rede Particular Virtual] para um servidor de 'Blot' que lida com solicitações de conexão reais de clientes. 

É configurado para a autenticação de cliente SSL[21] opcional: se um cliente envia um certificado de cliente válido (somente os implantes podem fazer isso), a conexão é encaminhada para o servidor de ferramentas 'Honeycomb' e se comunica com o implante; se um certificado válido estiver faltando (que é o caso quando alguém tenta abrir o site de domínio de cobertura por acidente), o tráfego é encaminhado para um servidor de capa que oferece um site com aparência nada suspeita.

O servidor de ferramentas Honeycomb recebe informações roubadas pelo implante; um operador também pode fazer com que o implante execute tarefas no computador de destino, de modo que o servidor de ferramentas atue como um servidor C2 (comando e controle) para o implante. Uma funcionalidade similar (embora limitada ao Windows) é fornecida pelo projeto RickBobby[22].

Consulte os guias de usuário e desenvolvedor classificados para a HIVE.
 


Perguntas Frequentes

Porque agora?
O WikiLeaks publicou essas informações assim que elas foram verificadas, quando suas análises ficaram prontas.

Em fevereiro desse ano, o governo Trump emitiu uma Ordem Executiva pedindo uma revisão sobre a "Cyberwar" [Ciberguerra], a ser preparada dentro de 30 dias.

Embora a revisão tenha aumentado a oportunidade e a relevância da publicação, ela não desempenhou um papel decisivo na definição da data de publicação.
 

RedaçõesNomes, endereços de e-mail e endereços IP externos foram redigidos nas páginas liberadas (70.875 redações no total) até que a análise fosse concluída.
 
  1. Sobre-redação: Alguns elementos que não são funcionários, contratados, alvos ou gente de alguma forma relacionada diretamente com a agência podem ter sido redigidos, mas que são, por exemplo, autores de documentos para projetos públicos que são usados ​​pela agência.

  2. Identidade versus pessoa: os nomes redigidos são substituídos por IDs de usuário (números) para permitir que os leitores atribuam várias páginas a um único autor. Dado o processo de redação usado aqui, uma única pessoa pode ser representada por mais de um identificador atribuído a ela, mas nenhum identificador refere-se a mais de uma pessoa real.
  3. Anexos de arquivo (zip, tar.gz, ...) são substituídos por um PDF listando todos os nomes de arquivos no arquivo. À medida que o conteúdo do arquivo é avaliado, ele pode ser disponibilizado; até aí, o arquivo é desconsiderado.
  4. Os anexos com outro conteúdo binário são substituídos por um despejo hexadecimal do conteúdo para evitar a invocação acidental de binários que podem ter sido infectados com malware CIA com armas. À medida que o conteúdo é avaliado, pode ser disponibilizado; Até então o conteúdo é redigido.
  5.  As dezenas de milhares de referências de endereços IP roteáveis ​​(incluindo mais de 22 mil dentro dos Estados Unidos) que correspondem a possíveis alvos, servidores de correio secretos da CIA, sistemas intermediários e de teste são redigidos para uma investigação mais exclusiva.
  6. Arquivos binários de origem não-pública estão disponíveis apenas como despejos para evitar a invocação acidental de malware CIA infectados binários.

Organograma
O organograma corresponde ao material publicado pela WikiLeaks até o momento.
Uma vez que a estrutura organizacional da CIA abaixo do nível das Direcções não é pública, a colocação da EDG e das suas sucursais no organograma da agência é reconstruída a partir das informações contidas nos documentos divulgados até agora. Destina-se a ser usado como um esboço da organização interna; Tenha em atenção que o organograma reconstruído está incompleto e que as reorganizações internas ocorrem com frequência.

 
Páginas Wiki
O "Year Zero" contém 7.818 páginas da web com 943 anexos do groupware de desenvolvimento interno. O software utilizado para esse fim é chamado de Confluence, um software de propriedade da Atlassian. Páginas Web neste sistema (como na Wikipedia) têm um histórico de versão que pode fornecer informações interessantes sobre como um documento evoluiu no decorrer do tempo; os documentos 7.818 incluem esses históricos de página para as últimas 1.136 versões.
A ordem das páginas nomeadas dentro de cada nível é determinada por data (a mais antiga primeiro). O conteúdo da página não está presente se originalmente foi criado dinamicamente pelo software Confluence (conforme indicado na página reconstruída).

 
Qual é o período de tempo coberto?
Os anos de 2013 a 2016. A ordem de classificação das páginas dentro de cada nível é determinada por data (as mais antigas primeiro).
O WikiLeaks obteve a data de criação/última modificação da CIA para cada página, mas estas datas ainda não aparecem por razões técnicas. Geralmente, a data pode ser discernida ou aproximada a partir do conteúdo e da ordem das páginas. Se for crítico saber a data/hora exata, entre em contato com o WikiLeaks.
 

O que é o "Vault 7"?
"Vault 7" [Cofre 7] é uma coleção substancial de material sobre as atividades da CIA obtidas pelo WikiLeaks.

Quando foi obtida cada parte do "Vault 7"?
A primeira parte foi obtida recentemente e cobre dados até 2016. Detalhes sobre as outras partes estarão disponíveis no momento em que forem publicados.

 
Cada parte do "Vault 7" é de uma fonte diferente?
Os detalhes sobre as outras peças estarão disponíveis no momento em que forem publicados.
 
Qual é o tamanho total do "Vault 7"?
A série é a maior publicação de inteligência da história.

 
Como o WikiLeaks obteve cada parte do "Vault 7"?As fontes confiam no WikiLeaks para não revelar informações que possam ajudar a identificá-las.

 
O WikiLeaks não está preocupado se a CIA vai agir contra a sua equipe para parar a série?Não. Isso certamente seria contraproducente pra eles
.


O WikiLeaks já "minou" todas as melhores histórias?

Não. A WikiLeaks intencionalmente não escreveu centenas de histórias impactantes para encorajar outras pessoas a encontrá-las e, assim, criar uma experiência na área para as partes subsequentes da série. E elas estão lá. Veja-as. Aqueles que demonstram excelência jornalística podem ser levados em consideração para receber acesso antecipado a partes futuras.


Outros jornalistas não encontrarão as melhores histórias antes de mim?


Improvável. Há muito mais histórias do que há jornalistas ou acadêmicos que estão em posição de escrevê-las.
  




Postado originalmente em: WikiLeaks 



 

Notas

Todas as notas abaixo foram feitas pelo tradutor deste artigo, e não constam no artigo original publicado pelo WikiLeaks. Elas têm como objetivo ampliar a compreensão do leitor leigo sobre os significados desses termos. Os termos técnicos em inglês foram mantidos no original, com traduções aproximadas entre colchetes, inseridas no texto também pelo tradutor.

[1] Principal órgão de inteligência e contra-inteligência dos EUA, fundada em 18 de setembro de 1947.  É a continuação da antiga Agência de Serviços Estratégicos [Office of Strategic Services - OSS], criada durante a Segunda Guerra Mundial e ativa de 1939 a 1945, cuja principal função era coletar e coordenara informações úteis às estratégias de combate. A CIA tem como função coletar informações dentro e fora dos EUA, de interesse do governo (mas muitas vezes agindo como um "poder paralelo", sem qualquer responsabilização legal ou jurídica). Atualmente, é chefiada por John Brennan.

[2] O Year Zero  é uma compilação de documentos divulgados pelo WikiLeaks, relativos às atividades da CIA.

[3] É a organização ligada ao serviço de inteligência estadunidense responsável por criar dispositivos cibernéticos para espionagem e contra-espionagem. 

[4] Hackeamento.

[5] Termo em inglês para Malicious Software [Software Malicioso], que designa programas cuja finalidade é invadir um sistema e roubar dados e informações.

[6] Agência ligada ao Departamento de Defesa dos Estados Unidos, cuja função principal é proteger as informações do governo estadunidense. Foi criada em 4 de novembro de 1952 e não é diretamente ligada à CIA, atuando como uma agência "paralela".

[7] Pessoa que analisa, modifica e adapta os mais diversos aspectos de programas, dispositivos e redes de computadores, descobrindo falhas de segurança e de aspectos essenciais dos funcionamentos desses elementos, utilizando essas informações tanto para aprimorar os sistemas de defesa quanto para explorar suas vulnerabilidades. Hackers são comumente contratados por empresas, governos e até mesmo pessoas físicas para analisar a integridade de um sistema ou programa e aprimorá-los, ou simplesmente invadi-los causando prejuízos específicos.

[8] Programa desenvolvido pela CIA para invadir smart TV's (mais especificamente, produzidos pela Samsung) e outros aparelhos eletrônicos que captam vídeo e áudio. O software ainda passa por ajustes e é impossível saber com precisão o quanto eles conseguem ser bem-sucedidos em seus propósitos. Por exemplo, há ainda a incapacidade de desligar alguns sinais de LED para evitar que o usuário perceba a continuidade do funcionamento do equipamento; a CIA e o MI5 ainda tentam também impedir certas atualizações automáticos no sistema operacional dessas TV's, mas, ao que parece, isso ainda não foi concretizado; há ainda testes para forçar a continuidade da conexão em wireless desses equipamentos, mesmo quando o usuário tenha desligado o aparelho. Contudo, são reais os projetos de invadir esses aparelhos e usá-los como fonte de captação e espionagem.

[9] Instituição ligada ao serviço secreto britânico, sediada em Cheltenham e responsável pelas informações sigilosas do governo britânico. Faz parte dos chamados "Cinco Olhos" da espionagem mundial, compostos por EUA, Canadá, Austrália, Nova Zelândia e Reino Unido. A sigla GCHQ foi adotada em 1946, logo após o fim da Segunda Guerra Mundial. O GCHQ faz parte do chamado projeto global da NSA (o Nrol-39), de supervisão mundial, cujo lema é "nothing is beyound our reach" [nada está fora do nosso alcance], cujo símbolo é um imenso polvo estendendo seus tentáculos por todo o globo terrestre.

[10] Os dispositivos chamados de "Day Zero" ou "Zero Day" são programas criados pela CIA para infectar diversos aparelhos eletrônicos com conexão à internet.

[11] Ramo da CIA responsável por desenvolver dispositivos autômatos de espionagem e contra-espionagem.

[12] Empresa de consultoria sediada na Tysons Corner, estado da Virgínia, com 80 escritórios nos EUA, além de outras localizações estratégicas ao redor do mundo.

[13] Harold T. Martin III foi um hacker contratado pela empresa Booz Allen Hamilton para checar vulnerabilidades de segurança, tendo sido acusado de roubar e traficar mais de 50 terabytes de dados de informações a NSA. As investigações não conseguiram determinar se ele estava diretamente envolvido em espionagem ou apenas em tráfico de dados. O governo dos EUA não foi capaz de perceber as ações de Harold durante quase duas décadas.

[14] Documento da CIA que estabelece parâmetros e diretrizes para a criação de malware e ataques cibernéticos, de forma a ocultar qualquer traço ou elemento que, numa investigação, possa correlacionar o ataque feito e seu executor, ou seja, incriminar a CIA, o governo dos EUA ou qualquer um de seus parceiros. Para mais detalhes, acessar esse artigo do WikiLeaks: Vault 7: Hacking Tools Revealed.

[15] O "Gaping Hole of DOOM" ["Furo de Destruição"] é um recurso do antivírus Comodo que permite ao programa registrar tudo o que é feito no sistema, até que seja desabilitado. Para mais informações, acesse este artigo do WikiLeaks: Comodo 6x Gaping Hole of Doom.

[16] O UMBRAGE [Ressentimento] é um projeto da CIA que permite novas ações para a infiltração de hackers em espionagem contra outros países, bem como para roubar e copiar programas de hacking criados em outros países.

[17] Isso significa, literalmente, que os EUA podem realizar ataques cibernéticos e incriminar outras entidades ou países por esses ataques, instalando assinaturas desses países em seus ataques.

[18] Keyloggers são programas de computador de tipo spyware (programas que captam informações sobre o usuário alvo) capazes de registrar tudo o que é digitado pelo teclado num computador infectado, transmitindo esses registros para um receptor. É bastante usado para roubar senhas.

[19] Sigla para Personal Security Products [Produtos de Segurança Pessoal], que designa todos os programas de proteção ao usuário. 

[20] Sigla para Hyper Text Transfer Protocol Secure [Protocolo de Transferência de Hipertexto Seguro] é um dispositivo de segurança que utiliza protocolo SSL/TLS, garantindo que os dados transmitidos por uma conexão sejam criptografados e que se autentique o servidor do cliente por meio de certificados digitais. Em suma, o protocolo HTTPS é usado quando se quer evitar que as informações transmitidas entre servidor e cliente sejam vistas por terceiros.

[21] Sigla para Socket Layer Secure [Camada Segura de Soquete] é uma tecnologia de segurança desenvolvida pela Netscape nos anos 1990. O SSL cria um canal criptografado entre um servidor web e um navegador, garantindo que os dados transmitidos sejam mantidos em segurança.

[22] RickBobby 4.x é um dispositivo de invasão de computadores específico para as versões mais atuais de sistemas operacionais Microsoft Windows e Windows Server. Ele não é detectado pela maioria dos programas de segurança. Para mais informações sobre esse dispositivo, visite o artigo do WikiLeaks: Vault 7: CIA Hacking Tools Revealed.


Share:

0 comentários:

Postar um comentário

Visitas

Participe do nosso Fórum Online

Siga-nos no Facebook