Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'CIA gebruikte tools om herkomst malware te verbergen'

Door , 81 reacties

De CIA lijkt tools te hebben ontwikkeld waarmee het zijn hackpogingen probeerde te verhullen. Het gaat om het zogenaamde Marble-framework, dat door WikiLeaks is vrijgegeven, en waarin onder andere tools zitten om tekst te verbergen die naar de CIA zou kunnen leiden.

Lekwebsite WikiLeaks heeft de bewuste hacktools, die volgens de organisatie zijn ontwikkeld door de CIA, op zijn website gezet. Onder de codenaam Marble zou de Amerikaanse inlichtingendienst verscheidene tools hebben gemaakt waarmee hij zijn hackpogingen kon verhullen. Zo worden met een van de tools teksten verborgen, om zo te voorkomen dat beveiligingsonderzoekers malware zouden kunnen herleiden naar de CIA.

Ook zit er in de toolset een methode om de verborgen teksten weer terug te zetten. Doordat WikiLeaks de software online heeft gezet, zouden onderzoekers deze deobfuscator in kunnen zetten om hackaanvallen in het verleden alsnog toe te schrijven aan de CIA. In broncodes die door WikiLeaks online zijn gezet, zijn voorbeelden gevonden in talen zoals het Farsi, Chinees en Russisch. Daarmee zou de CIA pogen om hackaanvallen toe te schrijven aan andere landen. Niet iedereen is het echter eens met die lezing van WikiLeaks. Zo stelt ontwikkelaar Jake Williams dat het uit het zicht halen van teksten in andere talen alleen bedoeld lijkt om mee te testen en geen echte mogelijkheden biedt om zogenaamde false flag-operaties mee uit te voeren.

In de Marble-toolset zit alleen software om de oorsprong van hackaanvallen te kunnen verbergen, en hij bevat dus geen nieuwe exploits. WikiLeaks heeft echter in de afgelopen weken verscheidene malen malware van de CIA naar buiten gebracht, waaronder hacktools voor Cisco-switches. Ook heeft de CIA een speciale netwerkdongle om Macs mee binnen te dringen.

Reacties (81)

Wijzig sortering
Dit is weinig schokkend en niet meer dan "best practise" als het op hacken aankomt. De vijf stappen / fasen rond hacken zoals je ze o.a. in de Certified Ethical Hacker training leert zijn:

1. Reconnaissance
2. Scanning
3. Gaining Access
4. Maintaining Access
5. Covering Tracks

We hebben het in dit geval over stap 5: Covering tracks.

After achieving his or her objectives, the attacker typically takes steps to hide the intrusion and possible controls left behind for future visits. Again, in addition to anti-malware, personal firewalls, and host-based IPS solutions, deny business users local administrator access to desktops. Alert on any unusual activity, any activity not expected based on your knowledge of how the business works. To make this work, the security and network teams must have at least as much knowledge of the network as the attacker has obtained during the attack process.

Vrijwel elke hacker, scriptkiddies wellicht uitgezonderd, volgt dit stappenplan in meer of mindere mate.

[Reactie gewijzigd door Bor op 1 april 2017 10:58]

The Marble Framework is designed to allow for flexible and easy-to-use obfuscation when developing tools. When signaturing tools, string obfuscation algorithms (especially those that are unique) are often used to link malware to a specific developer or development shop. This framework is intended to help us (AED) to improve upon our current process for string/data obfuscation in our tools. [...] The framework allows for obfuscation to be chosen randomly from a pool of techniques. These techniques can be filtered based upon the project needs. If desired, a user may also, select a specific technique to use for obfuscation.
tl;dr De executable's string table wordt vervangen door willekeurig gegenereerde tekst om zeker te zijn dat er niets terug te leiden valt. http://i.imgur.com/gE9MNZD.png <= in een .NET project kan je bvb in de AssemblyInfo zien dat er een paar default values zijn die in een executable worden gezet. De CIA wil natuurlijk voorkomen dat die default waardes blijven staan en het mogelijks terug te leiden valt. Ze veranderen elke executable die bij hun naar buiten gaat.
Nogal de verkeerde reactie lijkt me.

Je tegenstander bij dat soort trainingen zijn crackers, die vanalles voor geldelijk gewin of fun in je netwerk proberen te doen.

Hier hebben we het over een overheid die jou als bedrijf, organisatie of persoon aan valt. Vaak zonder dat te controleren is wie nu eigenlijk het doelwit is en of dit een legitiem doelwit is.

Dat maakt dus nogal een verschil. Wat kan het terroristen nou schelen of de malware vam de KGB of CIA komt? Ze vormen een nogal legitiem doelwit en kunnen niet echt gaan klagen bij de VN.

Je kan je daarop oprecht gaan afvragen waarom een overheid uberhaupt herleidbaarheid moet verhullen in de code. Dat heeft alleen maar zin als je andere overheden hacked, journalisten, activisten en publieke instellingen van andere landen...
Dit begrijp ik. Het probleem is alleen dat het vaak de CIA is die als eerste roept dat de Russen of Chinezen de hackaanval uitgevoerd hebben.

"...zijn voorbeelden gevonden in talen zoals het Farsi, Chinees en Russisch. Daarmee zou de CIA pogen om hackaanvallen toe te schrijven aan andere landen."

Als nu blijkt dat het 'bewijs' waarmee de CIA tegen het Amerikaanse congres zegt eigenlijk ook prima zelf gefabriceerd kan zijn, dan is het bewijs niks waard. Toch lijkt het erop dat er sancties tegen Rusland en China worden ingesteld mede op basis van dit soort aantijgingen. Maar ook voornamelijk dat de media dit overneemt en zo het volk 'overtuigd' van het feit dat Rusland en China de daders zijn.
De servers van de democraten die gehackt zouden zijn door de Russen hebben ze de FBI geen toegang toe gegeven, of welke andere dienst dan ook. Ze hebben het laten onderzoeken door een zelf uitgekozen ICT beveiligings-bedrijf genaamd CrowdStrike.
Eén van de oprichter van het bedrijf is "senior fellow bij the Atlantic Council policy research center in Washington. De Atlantic Council is een pro NAVO denktank die de agenda van de NAVO/militaire industriële complex ondersteund. Bellingcat aka Elliot Higgins zit bijvoorbeeld ook bij de Atlantic Council.
http://www.4thmedia.org/2...s-under-serious-question/
Dat hebben die Chinezen dan mooi op een rijtje gezet, zouden ze in de WaPo, NYT, CNN en MSNBC ook wel eens mogen doen. Als deze site een Kremlin troll word genoemd kan je die grote westerse MSM bedrijven wel Pentagon propaganda trolls noemen.
En het is standaard dat ze in de pers van de tegenpartij kritischer berichten over de acties van hun tegenstander. Voor dergelijke info over de Russen en Chinesen kan je bij onze media terecht en omgedraaid. Is een oud gegeven, Noam Chomsky zei dat decennia geleden al. Altijd kritisch blijven natuurlijk, maar dit is niet niet de lucht gegrepen ofzo. Hoeveel lijstjes heb ik al voorbij zien komen met zogenaamde fake nieuws sites waar de beste meest objectieve sites tussen stonden zoals 21centurywire.com globalresearch.ca corbettreport.com newsbud.com. Samen met website die idd echte pure onwaarheden publiceren, maar die pik je er vrij makkelijk uit. Alles valt of staat met de onderbouwing/bronvermelding
Die lijsten zijn juist een goede plek om te kijken waar dingen gepubliceerd worden die de NAVO liever niet wil dat wij horen.

En ik heb dit al maanden geleden gehoord maar in dit artikel stond het allemaal in. Ik zie alleen dat ik de naam vergeten ben van de persoon in kwestie, bij deze dan.
Mede oprichter van CrowdStrike Dmitri-Alperovitch, met hier een link naar de site van de Atlantic Council zelf.
http://www.atlanticcounci...s/list/dmitri-alperovitch

Doel van de Atlantic Council: "Through the papers we write, the ideas we generate, and the communities we build, the Council shapes policy choices and strategies to create a more secure and prosperous world."

Dus kort samengevat, alles wat uit Crowdstrike komt kan zo de prullenbak in, die mede oprichter is lid van een NAVO propaganda denktank. En de FBI mocht niet naar de servers kijken, hoe overduidelijk kan het zijn dat ze liegen.

[Reactie gewijzigd door The Reeferman op 2 april 2017 21:51]

Dat klopt dus niet. Het is wel schokkend nieuws en je be-argumentatie slaat nog kant of wal. Je kan een overheidsdienst toch niet gaan vergelijken met black-hat-hackers? Het zijn toch geen criminele organizaties?

Of bedoel je dat het voor jouw niet schokkend meer is? Knap in dat geval.
"De CIA verhult haar eigen hackpogingen als zijnde van Russische oorsprong" zou inderdaad een schokkend bericht zijn. "De CIA heeft tools waarin buitenlandse teksten staan" is een heel ander bericht. Dat mensen die twee gelijk aan elkaar stellen heeft niets met de feiten te maken, maar noemt zich gewoon confirmation bias.
En zo blijft de media geile wikileaks zichzelf weer vrolijk in het daglicht stellen. Beetje bij beetje releasen, want tja, als ze alles meteen zouden releasen zou niemand een paar weken later nog aan hun denken. En de media maakt er ook weer gretig gebruik van.
En maar goed ook, want ze releasen keer op keer zaken die onze volle aandacht verdienen.

Daarnaast doe je net of al hun data als een big bang ontstaan is en ze daar de komende 50 jaar nog op gaan teren. Er komt echt wel data bij.
Bedenk je ook eens hoe lang je zelf bezig zou zijn met het analyseren en begrijpen van een paar tb aan documenten.
Dus ze gebruiken technieken om te hacken en doen vervolgens hun best om niet ontdekt te worden?

Nou, dat lijkt me echt schokkend nieuws hoor!!!
Nee, dit is absoluut niet schokkend. Het werpt wel een ander licht op al die toewijzingen aan 'Russische hackers'. De inlichtingendiensten denken zeker dat tweakers achterlijk zijn ...
Wat hier ontdekt is is niet gerelateerd tot toewijzingen aan 'Russische hackers'. Elke executable bevat meta data over zichzelf (company name, author, copyright, ...) daar worden default values (values van je machine kunnen mogelijks worden ingevuld, bvb kijken naar de username op de machine en dit overnemen als author) ingezet die je kunt wijzigen in je build/release pipeline. Wat de CIA hier doet is als laatste stap voorkomen dat iemand een default value heeft vergeten wijzigen/configureren in de build/release pipeline waardoor de executable terug te leiden valt tot hun.

Ze hebben in dit geval gewoon de string table (tekst tabel) van de executable vervangen door willekeurige inhoud om zeker te zijn dat er geen enkele string (tekst) vergeten is van geanonimiseerd te zijn.

Om je een idee te geven: elke crack/key gen die je downloadt heeft deze stap ook ondergaan zodat deze niet terug te leiden vallen. Het is in feite niets speciaals.

Edit: Waarom exact word ik gedownvote?
Ik baseer mij op de source code van het project: http://i.imgur.com/6LqRsNS.png

[Reactie gewijzigd door Precision op 1 april 2017 13:59]

Ze hebben in dit geval gewoon de string table (tekst tabel) van de executable vervangen door willekeurige inhoud
Je negeert hierbij het feit dat het géén willekeurige inhoud betreft, maar opzettelijk Arabisch, Chinees, Koreaans en Russisch. Wat is hier willekeurig aan?

Men voert dus een aanval uit en legt een spoor naar een politieke tegenstander, exact zoals in de media te zien is. Dit bewijst dus duidelijk dat men bezig is met een cyberoffensief om bovenstaande landen 'verdacht' te maken. Of zoals de US dit zelf noemt: Cyberwarfare.

Maar wat doet het westen? Ach, valt wel mee jongens, gewoon doorlopen! Totdat Borselen door een 'foutje' een enorme meltdown heeft, de broncode verwijst naar "Russische hackers" en de CIA lacht in zijn handje.

Zie daar, False Flag nr. ontelbaar

[Reactie gewijzigd door m4ikel op 1 april 2017 17:11]

Je kan best eens gelijk hebben. Ik snap Precision's punt ook wel, maar de keuze voor deze specifieke talen is op zo'n minst opvallend. Puur voor obfuscatie had men ook engels of random karakters kunnen gebruiken.
Ik ben zelf niet meer zo up-to-speed met coden dus ik ben er zelf niet in gedoken, maar als ik deze post leest lijkt het toch een heel ander verhaal te zijn dan de headlines die Wikileaks de wereld in slingert. MatthijsZ in 'nieuws: 'CIA gebruikte tools om herkomst malware te verbergen''
Uit veel posts hier (waaronder die van jou) ze je ook waarom Wikileaks deze route bewandelt. Dit soort berichten gaan er gewoon heel makkelijk in bij de self-proclaimed "kritisch denkenden". Elk bericht van "(pro-)westerse" kant wordt bij voorbaat als leugen bestempelt, maar helaas vervaagt die kritische blik zodra berichten langskomen die overeenkomen met het eigen denkbeeld (het westen/de VS is evil, Rusland en China zijn onschuldige slachtoffers). Dan verstomt de schreeuw naar bewijs opeens en worden geruchten maar wat graag voor feiten aangenomen.

Onafhankelijk van het onderwerp of iemands standpunt is dat soort eenzijdige kritiek gepaard met blindheid aan de andere zijde natuurlijk waardeloos ontwrichtend voor een discussie.

[Reactie gewijzigd door fsfikke op 1 april 2017 23:23]

Het omgekeerde is eerder waar, het is misschien bizar dat ze testen of het ook werkt met russich etc. In the end zorgen ze er gewoon voor dat het voor engels maar ook voor andere talen werkt. Dus van taal x, y, z naar => random. Als je een ander land willt beschuldigen van iets dan wil je dit in de andere richting hebben... Dit lijkt er wederom gedaan om te zorgen dat als iemand een stuk code van rusland, ... copy paste en distribueert en als daar per ongeluk zijn/haar details in terecht zijn gekomen deze gestript worden. De enge headlines zijn onwaar.

Edit: ze testen niet naar maar van die talen naar iets willekeurigs. Stel dat de CIA een russisch virus wil hergebruiken en herdistribueren en in hun poging om dit te doen voegen ze per abuis een referentie naar zichzelf toe... Ze hebben dit zo gemaakt om dit te voorkomen.

[Reactie gewijzigd door Precision op 2 april 2017 02:03]

Als je denkt dat een invasie tussen een van de 3 grootmachten (VS, China en Rusland) voor een van de 2 partijen (aanvaller en verdediger) per saldo positief afloopt, dan ben je erg irreëel. Beide partijen mogen blij zijn als dat niet zou eindigen in 'mutual destruction'.
De enige partij die daar van profiteert is de derde. Maar in dit geval zou dit betekenen dat de CIA China en Rusland tegen elkaar op zou zetten. Hier heb ik vooralsnog geen aanwijzingen voor gezien.
wie zegt dat ik denk dat een oorlog tussen 2 of 3 grootmachten positief zal aflopen?
"...het punt is dat ze een invasie op rusland, chine iran syrie etc willen verkopen en rechtvaardigen aan het publiek..."
Ik ben nu eens wel benieuwd hoeveel 'russische hacks' die gebeurden bij EU instellingen/bedrijven nu zullen kunnen toegeschreven worden aan de CIA.
Waarschijnlijk een hoop. Zoals de NSA inbraak bij Proximus.
(Proximus = Belgacom indertijd, toen het gebeurde. Door het feit dat een grote internet provider langdurig gehackt werd, hebben ze dan maar besloten om een volledige rebranding te doen. In de hoop dat de mensen die link niet meer zouden leggen)
Ik ben nu eens wel benieuwd hoeveel 'russische hacks' die gebeurden bij EU instellingen/bedrijven nu zullen kunnen toegeschreven worden aan de CIA.
Het is wel een mooi argument voor de 'Russen' en de 'Chinezen'. Het was de CIA..
https://wikileaks.org/vault7/document/DerStarke_v1_4_DOC

Vraag me af hoe dit kan überhaupt kan werken met secure boot enabled? 8)7 Als je een Windows ISO al op usb stickje zet (Windows 7 als voorbeeld) dan begint secure boot al te klagen dat hij deze "gehackte" Windows versie niet kan installeren want die is niet veilig, terwijl de ISO van Microsoft afkomstig is.. Secure boot uitzetten en dan pas mag je installeren (beetje absurd, maar het werkt)..

[Reactie gewijzigd door r_AllocStarByte op 1 april 2017 16:53]

Misschien kan 2nd love de tool ook wel gebruiken om verzonden berichten onzichtbaar te maken voor de echtgenoot van de vreemdganger. Dat zou ideaal zijn.
ja, of ik kan eindelijk een boze brief schrijven naar mijn baas, of die klootzak van hiernaast... ik hoop dat ik het artikel verkeerd begrijp en dat ze niet de daadwerkelijke toolset online hebben gezet, want dit kan nare situaties opleveren. Of het is gewoon 1 april natuurlijk...

[Reactie gewijzigd door pizzafried op 1 april 2017 12:02]

In onze zogenaamde grootste bondgenoot geloof ik al lang niet meer. Als er een land belang heeft bij onrust als grootste wapenproducent zijnde is het Amerika wel.
"In onze zogenaamde grootste bondgenoot geloof ik al lang niet meer"

Nee, en zij ook niet meer in ons.
Vindt je het overigens vreemd, destijds bij het opzetten van de NAVO is namelijk afgesproken, dat elk land die hier aan wilde mee doen, 2% van zijn jaarlijkse landelijke inkomen zou afstaan aan de NAVO, om zo de kosten te kunnen dekken.
En nu houden ik weet niet hoeveel landen zich hier inmiddels niet meer aan, en vind het dan ook niet vreemd dat de USA zoiets heeft van, bekijk het allemaal lekker, wij gaan niet in ons ééntje jaarlijks even 70% van de gemaakte kosten zelf betalen.

En geef ze hier dan ook groot gelijk in, al zie ik het ook liever anders, maar goed :/

Maar ik begin nu wel erg off-topic te geraken.
Dat geld moeten ze niet aan de NAVO geven maar in hun eigen leger investeren zodat de NAVO daar gebruik van kan maken. Ze hebben geen eigen éénheden.
Wij Nederland zijn al een aantal jaren wapens exporteur numero uno van de wereld per kapita. We staan gemiddeld per inwoner zelfs ver boven de VS.
Exporteur ja, dat het hier binnenkomt (grote haven) en verder gaat. Maar niet producent.
We maken ook veel zelf, vooral elektronische meuk en voor de marine. En een deel van onze export is ons oude materiaal verkopen wat we vervangen hebben.

Voor zo'n klein en 'bescheiden' land als Nederland, zitten we vuistdiep in de anus wat oorlogsvoering heet. De VS of Rusland zijn zo slecht nog niet, doen het alleen op grotere schaal.
Kan weer op de lijst van False Flag Operations https://en.m.wikipedia.or...ory:False_flag_operations
Er is vast ook een tooltje dat automatisch naar Rusland wijst en de hack eruit laat zien alsof het door Russen is gedaan. Zou me niets verbazen als een groot deel "russische hacks" gewoon de CIA is.
Enorm dom van ze. Nu kan iedereen die gehackt word of malware heeft, of dit nou om particulieren, bedrijven of overheden gaat, zeggen dat ze aangevallen zijn door de CIA / VS. Dit gaat de CIA / VS nooit kunnen ontkrachten omdat er betrouwbare informatie naar buiten is gekomen dat ze hacken en dat ze dit onherleidbaar doen, daar komt nog bij dat de CIA en de VS als geheelde laatste tijd (en voorheen eigenlijk ook al) de reputatie heeft gekregen dat ze nergens eerlijk over zijn ofdat ze een heleboel feiten weglaten.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*