WikiLeaks publiceert CIA-handleiding Athena-malware voor Windows-systemen

WikiLeaks heeft opnieuw CIA-documenten uit de Vault 7-verzameling gepubliceerd. Deze keer gaat het om de zogenaamde Athena-malware, die dienst doet als een beacon en als loader. De tool is samen met een Amerikaans bedrijf ontwikkeld.

Uit de door WikiLeaks gepubliceerde handleiding blijkt dat Athena geschikt is voor gebruik op Windows-versies van Windows XP tot en met Windows 10. De tool bestaat uit verschillende componenten en is bedoeld om samen met de Hera-tool te worden gebruikt, die niet uitgebreid wordt beschreven. Zo kan een gebruiker met behulp van een builder een bepaalde soort malware selecteren, die geschikt is voor de operatie in kwestie. Eenmaal op het systeem van het doelwit beland, wordt de Athena-engine gestart en luistert de malware naar binnenkomende opdrachten. Zo kan de gebruiker op afstand bijvoorbeeld bestanden van het geïnfecteerde systeem afhalen en bepaalde dll-bestanden plaatsen.

Uit een document met de titel Technology Overview blijkt dat de CIA de Athena-tool als een 'zeer eenvoudige implant' omschrijft. Uit het document is verder op te maken dat de tool is ontwikkeld in samenwerking met het Amerikaanse beveiligingsbedrijf Siege Technologies. Dat richt zich naar eigen zeggen op 'offensieve en defensieve beveiligingstechnieken'.

WikiLeaks publiceert wekelijks nieuwe documenten uit de Vault 7-verzameling, die de organisatie in maart online zette en waarvan ze claimde dat de informatie afkomstig is van de CIA. Vorige week bevatte de publicatie informatie over de AfterMidnight- en Assassin-malwareframeworks voor Windows-systemen.

athena wikileaks Schema van de werking van Athena

IT-banen

Reacties (58)

daanb14 19 mei 2017 18:29

Misschien dat wikileaks dit soort praktijken aan Microsoft kan melden alvorens te publiceren wat de NSA allemaal achterhoudt. Op deze manier bedreigt wikileaks miljoenen gebruikers wereldwijd en is Microsoft de dupe, terwijl zij hier helemaal niks aan kunnen doen.

mrdemc @daanb14 • 19 mei 2017 20:28

http://www.securityweek.c...-hacking-tools-tech-firms

Zoals o.a. Hier te lezen (heeft dacht ik ook op tweakers gestaan) hebben ze dat ook gedaan

Rabb @daanb14 • 19 mei 2017 22:51

Op zich een goed punt. Echter was de bug waar WannaCry op was gebaseerd al gepatched voordat de NSA software uberhaubt door wikileaks werd gepubliceerd.

[Reactie gewijzigd door Rabb op 26 juli 2024 20:05]

Liberteh @Rabb • 20 mei 2017 12:22

Is niet door WikiLeaks gepubliceerd....

Rabb @Liberteh • 20 mei 2017 16:09

Oeps, foutje 😅

Menesis @daanb14 • 19 mei 2017 18:49

Eens. Ze zouden best Microsoft (en misschien later ook Apple en Linux community?) de kans kunnen geven het eerst te fixen voordat ze het publiceren.

[Reactie gewijzigd door Menesis op 26 juli 2024 20:05]

rkeet @Menesis • 22 mei 2017 09:42

Wordt ook gedaan. In deze talk wordt dat aangekaart.

Zie dit artikel daarover, gelinkt door @mrdemc hierboven.

alt-92 @daanb14 • 20 mei 2017 09:55

*kuch*
NSA heeft Microsoft al inzicht gegeven in (een deel) van de vulns die met de SB dump zijn exposed.

Waarom denk je dat de Patch tuesday van februari opeens 'uitgesteld' werd?
En dat 'toevallig' daarna in maart de SMBv1 EternalBlue exploit gepatched was?
Kijk maar eens naar de timestamp van de codesigning cert op de updates van XP/Vista die MS heeft released.. 11 februari.

Ge Someone @daanb14 • 20 mei 2017 12:15

Dit artikel gaat over malware, niet over kwetsbaarheden in een OS. Hoe dit bij een "doelwit" op de computer komt is een ander verhaal.

litebyte @Smurfuhrer • 20 mei 2017 02:17

Wikileaks wil zoveel mogelijk de 'geheime' macht en verborgen agenda's van overheden inperken door het publiekelijk en goed inzichtelijk te maken.

Openbaring van de NSAware is daar een uitstekend voorbeeld van.

invic @litebyte • 21 mei 2017 22:10

Nou, wel eenzijdig, nl alles wat de VS doet wordt geopenbaard. Nergens gelezen over Rusland, China, en de rest van de niet westerse wereld... Bedenk dat zulke "openbaringen" het gevolg is van onze vrije open democratische systemen! Sowieso niet meer dan normaal om de os makers op de hoogte houden van kwetsbaarheden. Toch zie je dat genoeg niet techneuten niet op de hoogte zijn van het verplicht updaten van de systemen en daardoor getroffen worden. Leve de vrijheid om gestolen software te openbaren met de vrijbrief dat het "geheime spionagesofteware" is...

litebyte @invic • 22 mei 2017 13:59

Dan heeft u niet goed gezocht en gelezen. De Cable publicaties (duizenden) staan er vol mee. Ook overigens de publicaties over de Zwitserse bankgeheimen komen tal van buitenlandse zwartgeld constructies en connecties, met name ook Russische in voor.

Zoals ik probeerde uit te leggen - data wat niet vanuit westerse landen komt is veel moeilijker te verifieren en controleren. En u heeft gelijk, het democratsiche systeem en de cultuur in het westen stelt bij veel klokkenluiders het rechtvaardigheidsgevoel boven dat van het patriotisme

Je kan dus concluderen dat Wikileaks niet de eenzijdigheid m.b.t. berichtgevingen bewust kiest zoals bijv. een 'citizen journalism org' als Bellingcat

[Reactie gewijzigd door litebyte op 26 juli 2024 20:05]

Smurfuhrer @litebyte • 20 mei 2017 11:02

Ze gaan dan wel opvallend eenzijdig te werk.

Durandal @Smurfuhrer • 20 mei 2017 17:49

ze gebruiken de informatie die ze hebben.

Overigens is het niet zo dat de Russen een wereldwijd gebruikt OS hebben gemaakt..

Smurfuhrer @Durandal • 21 mei 2017 12:28

De Russen gebruiken toch ook gewoon Windows?

Durandal @Smurfuhrer • 21 mei 2017 15:20

Inderdaad, dus je kan niet zeggen dat de berichtgeving eenzijdig tegen de Amerikanen is want alleen de Amerikanen hebben een OS op de markt gezet dat iedereen gebruikt, en waar dus ook lekken in zitten.

Smurfuhrer @Durandal • 21 mei 2017 20:51

Misschien komen die FSB-leaks dan wat later.

litebyte @Smurfuhrer • 22 mei 2017 14:05

Ik denk dat de kans op FSB leaks - op een vergelijkbare schaal als de onthullingen over o.a. de Cables vrijwel is uitgesloten.

De ruim duizend vrijwilligers die Wikileaks gebruikt om te verifieren en controleren komen vooral uit westerse landen. Wikileaks is geen Bellingcat.

litebyte @Smurfuhrer • 21 mei 2017 00:53

Ik denk niet dat het een bewuste keuze is en is ook relatief.

Kijken we bijv. naar de Cables publicaties - dan zie je dat van tal van overheden (landen) de meest smerige details naar buiten kwamen - zelfs nadat Wikileaks zelf al een hoop informatie had geskipped for publicatie ivm gevaar voor personen die in de Cables genoemd werden.

Wikileaks is een klokkenluiders site, en het meeste materiaal wat stof heeft doen opwaaien komt vanuit de VS en vanaf andere.westerse klokkenluiders - vanuit westerse landen aangeleverd. Ik denk niet dat dit een bewuste keuze is.

De meer dan 1000 vrijwilligers die Wikileaks in ieder geval in 2012 nog had om allerlei materiaal te controleren en verifieren komt merendeels ook uit westerse landen.

m3gA @litebyte • 20 mei 2017 20:58

Daarom hosten ze een deel van hun servers in Rusland bij het hosting bedrijf van een FSB hacker?

Xanaroth @vinkjb • 19 mei 2017 18:13

Heel erg gevaarlijk hoe je hier denkt!

Elk lek, elke bug, elke achterdeur, kan door iedereen gebruikt worden die achter het bestaan komt. Van 14 jarig scriptkiddie tot diensten tot criminelen, iedereen kan er vrij gebruik van maken tot het gepatched is.
Software is wat dat betreft perfect, want het maakt geen onderscheid tussen landsgrenzen, religie, wetten, afkomst of wat dan ook.

Jouw uitgangspunt is dat kwaadwillenden dit nog niet wisten/gebruiken, en ook nooit erachter zouden zijn gekomen. Kan prima dat die echter al van dergelijke lekken gebruik maakten voordat de intelligentie diensten het ontdekten, of het alsnog zouden ontdekken - dus wie weet hoeveel kwaad er al mee is gedaan zonder dat mensen het door hebben gehad.

[Reactie gewijzigd door Xanaroth op 26 juli 2024 20:05]

bbob

Netwerk en systeembeheer

@Xanaroth • 19 mei 2017 20:53

Op zich heeft hij wel een punt.

Ik weet bij niet of wiki MS deze info eerst stuurt zodat ze binnen x dagen een patch kunnen uitbrengen.
Na de x dagen kunnen ze het dan openbaar maken. Dat zou een normale en goede gang van zaken zijn.

Het openbaar maken is verder niet verkeerd als je maar zorgt dat de OS bouwer de mogelijkheid heeft gehad het lek te dichten.

bamboe @bbob • 19 mei 2017 21:45

Wie zegt dat dit behalve bij wikileaks niet bekent is bij andere criminelen....

bbob

Netwerk en systeembeheer

@bamboe • 20 mei 2017 12:00

Wie zegt dat aliens er niet vanaf weten.
Mijn punt gaat helemaal niet of anderen er vanaf weten, het gaat erom voordat het door wiki openbaar gemaakt wordt het eerst gemeld moet worden zodat het gat te dichten is.

rkeet @bbob • 22 mei 2017 09:45

Kleine google zoektocht van 30 seconden had je de informatie opgeleverd dat OS bouwers (en overige bedrijven die diensten/producten leveren) inderdaad eerst geinformeerd worden over deze exploits.

Zie m'n eerdere comment hogerop.

polthemol Moderator General Chat @vinkjb • 19 mei 2017 18:08

omdat je op deze manier overheden misschien eindelijk eens dwingt te kappen met het achterhouden van leaks voor ' security'. Je moet wikileaks, tweakers enz niet bedanken, je moet overheden en geheime diensten bedanken die het spul liggen te horden. Of misschien zelfs overheden die wetgeving mogelijk maken dat je er zelfs in mag handelen.

r2504 @polthemol • 19 mei 2017 18:14

Alsof enkel overheden malware en andere rotzooi maken... ik zie hier dus echt het nut niet van in. Wil je de gemiddelde gebruiker een dienst doen geef het dan aan Microsoft of welk bedrijf dan ook dat een let heeft dat dringend gepatched moet worden.

Verwijderd @r2504 • 19 mei 2017 18:27

Overheden weten van grote problemen; Ze houden hun mond
Criminelen delen/kopen via underground markets informatie gelijk aan wat de overheden weten: Ze houden hun mond
De burger weet van niets en loopt gevaar, zowel van criminelen als hun eigen overheden.
Weet jij of bedrijven moedwillig informatie achterhouden om wellicht overheden of criminelen te helpen? Nee. Misschien gebeurd het, misschien niet.

Wij de burgers hebben recht op bescherming van onze overheden. Deze informatie hoort publiekelijk beschikbaar te zijn.

In de rest van de security community gebeurd dit ook. Informatie wordt publiek gemaakt zodat iedereen de kans krijgt om zich te beschermen.

Daadwerkelijk publiceren van de exploits die gebruikt worden hebben ze in dit geval niet gedaan. Als ze dit wel doen, dan zou ik als enige opmerking hebben, misschien is het een goed idee om aan responsible disclosure te doen. De min of meer geldende standaard van 90 dagen aanhouden na het informeren van de betreffende fabrikant.

polthemol Moderator General Chat @r2504 • 19 mei 2017 18:28

het is ook een kwestie van escalatie. Dit kan potentieel bedrijven hun reputatie schaden en reputatie is belangrijk. Als zoiets uit komt, zorg je dat bedrijven uitermate gemotiveerd zijn om er serieus wat resources aan te besteden.

Dat er nog anderen zijn naast overheden is niet relevant. Als een overheid het doet is het opeens beleid en dat is gevaarlijk.

(De gemiddelde gebruiker heeft dus schade gekregen door de CIA die die lekken niet vrij geeft of gaat melden. Wikileaks is hier niet het probleem, hoe dodgy ze ook mogen zijn de laatste tijd

Blokker_1999

Netwerk en systeembeheer
Wikileaks
Security

@r2504 • 19 mei 2017 18:30

Nee dat klopt. Niet enkel overheden bouwen malware. Maar door de misbruikte lekken kenbaar te maken aan de software ontwikkelaars kunnen zij de fouten er wel uithalen en krijg je systemen die veiliger zijn voor de eindgebruiker. Daar haal je wel een voordeel uit. Met de lekken van zowel de CIA als de NSA merken we zeer goed dat het niet handig is om de lekken geheim te houden en zelf te misbruiken. Het is een kwestie van tijd voor ze publiek worden gemaakt.

SamTex @r2504 • 19 mei 2017 23:51

Links boven in het geel.. http://omnithought.org/bl...ates-gov-foreign-corp.jpg

polthemol Moderator General Chat @innerchild • 22 mei 2017 12:05

'lullen', 'blaten': lekker gefundeerde manier van kritiek geven met zoeen termen erin

Anyhow: het maakt niet uit of het een geheime is of wat dan ook, het probleem is dat backdoors gewoon een systeem is wat prut is. Je zorgt voor meer security issues dan wat je oplost en het huidige is een perfect voorbeeld daarvan.

'blaat jij ook zo van het dak af' vertaal ik maar even vrij als 'heb je ook een kritische mening op ouderwetse manieren van afluisteren': als die manieren een betere beveiliging van je systeem in de weg staan, zonder meer. Maar dat is niet vergelijkbaar: dit is een nog iets massalere vorm van misbruik, waarbij de digitale omgeving er een geheel nieuwe dimensie aan geeft, niet alleen aan de mogelijke voordelen, maar zonder meer ook aan de nadelen. En beveiliging opgeven (wat dit is) voor de illusie van beveiliging is een erg dodgy iets, waarbij het immens twijfelachtig is dat het werkt.

Harm_H @vinkjb • 19 mei 2017 18:34

Vulnerabilities moeten helaas eerst zichtbaar worden, voor er een patch wordt gemaakt.

Wat dacht je van die triljoen camera's in de wereld die gemakkelijk te hacken zijn (=root toegang). Dankzij defcon worden die fabrikanten massaal in kwaad daglicht gezet. IOT moet daarom goed nadenken over patch-ability. Want alles is te hacken.

Ten slotte zit er wel een kern van waarheid in je post. Transparantie is belangrijker dan Schijnveiligheid, toch had men hier een middenweg kunnen kiezen. Deel de lekken in grote lijn met enkele media en met detail met de fabrikant (Microsoft), zonder alle details bloot te leggen.

fastedje @Harm_H • 19 mei 2017 18:43

Er zijn diverse manieren en randzaken waar je rekening mee moet houden als je een kwetsbaarheid wil rapporteren: http://howdoireportavuln.com/.

NLAnaconda @vinkjb • 19 mei 2017 18:17

Als het niet gepubliceerd wordt en het geheim blijft is er ook minder noodzaak om het te lek te patchen.
Ik hoef net zo min een hacker als de wijsneuzen uit de Verenigde Staten (of welke land dan ook) op mijn pc. Als WikiLeaks het publiceert is er binnen no time een patch. Dus hulde.

Thijzer @vinkjb • 19 mei 2017 18:59

In de wereld van bugs is het snel kennis geven ervan de enigste oplossing. Wat niet openbaar bekend wordt, wordt niet gefixed en blijft schadelijk voor iedereen!!

Timoo.vanEsch @vinkjb • 19 mei 2017 23:59

Omdat dat duidelijk maakt dat overheden in het internet geen machtsmonopolie hebben. In de reële wereld hebben zij het alleenrecht op geweld. Een ieder die op gewelddadige wijze door het leven gaat, is in principe strafbaar, behalve overheden (en hun dienstgangers).

In het internet gelden deze regels niet; daar zien we echter dat alle veiligheidsdiensten nog wèl volgens die regels spelen. En dus backdoors eisen in encrypiesoftware, bijvoorbeeld. Dit lek geeft duidelijk aan waarom dat een héél slecht idee is...

bolke de beer @vinkjb • 20 mei 2017 10:23

Het is kwaadaardig om gevonden exploits achter te houden, nog kwaadaardiger is het om er misbruik van te maken. WikiLeaks stelt dit aan de kaak en laat aan de burger zien waar hun eigen overheid zoal mee bezig is (door dit alles in openbaarheid te brengen).
Het feit dat we er hier over kunnen discussiëren, daar gaat het WikiLeaks om.

Dit is ook positief voor het democratisch proces, in een democratie moet de handel en wandel van de overheid zo transparant mogelijk zijn, dit stelt de burger in staat om zo goed mogelijk geïnformeerd zijn keuze te maken in het stemhokje.
Een overheid die in het duister opereert geeft niet echt het vertrouwen dat die democratie bij hen in goede handen is.

Edgarz @bolke de beer • 20 mei 2017 22:19

Je voorstelling van zaken is te eenvoudig. Het is niet zo dat 'alles' van een overheid maar transparant moet zijn. Niet-transparant voor de burger houdt niet direct in dat het democratische gehalte van een samenleving in gevaar is. De controle vindt ook plaats door organen die hiervoor ingesteld zijn en niet direct de burger zelf zijn. Daarmee wordt een regering/overheid nog steeds gecontroleerd maar is ook de vertrouwelijkheid van sommige zaken gewaarborgd. Die is namelijk noodzakelijk omdat een overheid niet in staat is om de samenleving te beschermen. Oftwel: Een inbreker geef je ook geen Whatsappje dat de politie er over 10 minuten aan komt. Dat maakt een heterdaadje wel erg onmogelijk.

bolke de beer @Edgarz • 21 mei 2017 09:23

Daarom schrijf ik ook niet 'alles', maar 'zoveel mogelijk'. Dat de overheid kwetsbaarheden in een OS misbruikt ipv dit aan de maker van het OS mee te delen, daar heeft de burger volgens mij zeker een recht dit te weten, want deze kwetsbaarheden exploiteren voor eigen gewin zou gewoon voor iedereen strafbaar moeten zijn.
Geen idee welk controlerend orgaan dit soort praktijken goed zou keuren, maar als dat gebeurt dan dient dat orgaan duidelijk alleen het belang van de overheid.

[Reactie gewijzigd door bolke de beer op 26 juli 2024 20:05]

Edgarz @bolke de beer • 24 mei 2017 12:13

De overheid dient het belang van de burger. En alvast als voorloper op mogelijke reacties: dat wil niet zeggen dat jouw individuele belangen altijd 100% gediend (kunnen) worden. Er leven namelijk 16mio mensen in dit land die zowel individueel als gemeenschappelijk gediend moeten worden. Daarnaast wordt er altijd een afweging gemaakt tussen de verschillende belangen.

Kortom, lees jezelf eens in hoe onze democratie en de borgings mechanismen werken. De wereld is niet binair en er zit veel meer tussen overheid en burger die zorgen voor de juiste afwegingen. Een bankwerker in een fabriek bemoeit zich immers ook niet direct met de audits binnen een bedrijf.

bolke de beer @Edgarz • 24 mei 2017 13:52

De software die door de overheid wordt misbruikt via kwetsbaarheden wordt door jan en alleman gebruikt, dus de bankwerker en de fabriek mogen zich hier wel degelijk mee bemoeien, zei zijn immers allen slachtoffer van dit beleid. Zie de ziekenhuizen in de UK die werden platgelegd door ransomware die misbruik maakte van een kwetsbaarheid die de NSA achterhield en misbruikte.

Qinshi 19 mei 2017 18:51

Als dat een 'zeer eenvoudige implant' is, dan stel ik me toch vragen bij de 'high end implanten' van de CIA.

Leuk dat Wiki-leaks dit toont.
Je kan je toch wel gaan afvragen in hoeverre USA z'n 'bondgenoten' vertrouwd.
USA hackt één van de grootste belgische internet providers, NSA hackt PC wereldwijd en laat sporen achter die zouden kunnen leiden naar 'de russen', ...

Knorretje63 20 mei 2017 09:18

Transparantie dwingt tot actie, dus ja een goede zaak. Maar geef wel eerst Microsoft de kans een patch uit te brengen voordat je dit wereldkundig maakt.
Dit kan n.m.l ook een keer flink misgaan.

Blommie01 19 mei 2017 18:00

Op naar de volgende uitbraak

NESFreak @Blommie01 • 19 mei 2017 18:08

dit is geen virus, maar een verkapt remote desktop programma https://en.m.wikipedia.org/wiki/Remote_administration_tool

Je hebt vervolgens nog toegang tot een PC nodig om het te installeren. Bijvoorbeeld een exploit zoals wannacry ook gebruikte. Maar fysieke toegang en social engineering werken ook prima.

Verwijderd 19 mei 2017 18:03

Heel erg nice. Goed gedaan Wikileaks.

litebyte @Verwijderd • 20 mei 2017 10:19

Droevig dat dit soort organisaties nodig zijn.

Op dit item kan niet meer gereageerd worden.

WikiLeaks publiceert CIA-handleiding Athena-malware voor Windows-systemen

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: