Hampir dua bulan setelah merilis rincian 23 proyek alat hacking rahasia milik CIA di bawah seri Vault 7, WikiLeaks kali ini mengumumkan seri baru yaitu Vault 8 yang akan mengungkapkan source code dan informasi tentang infrastruktur back-end yang dikembangkan oleh CIA.
Bukan hanya pengumuman, namun organisasi whistleblower ini juga telah menerbitkan batch pertama seri Vault 8, mempublikasikan source code dan log pengembangan Project Hive – komponen back-end signifikan yang digunakan CIA untuk mengendalikan malware secara diam-diam.
Pada bulan April tahun ini, WikiLeaks mengungkapkan informasi singkat tentang Project Hive, mengungkapkan bahwa proyek tersebut adalah server command-and-control lanjutan (sistem kontrol malware) yang berkomunikasi dengan malware untuk mengirim perintah guna menjalankan tugas spesifik pada target dan menerima informasi yang telah dilengkapi exfiltrated dari mesin target.
Project Hive adalah sistem all-in-one multi-user yang dapat digunakan oleh beberapa operator CIA untuk mengendalikan beberapa implan malware secara remote yang digunakan dalam operasi berbeda.
Infrastruktur Project Hive telah dirancang khusus untuk mencegah atribusi, yang mencakup situs web palsu yang dihadapi publik menyusul komunikasi multi tahap melalui Virtual Private Network (VPN).
“Menggunakan Hive bahkan jika sebuah implan ditemukan di komputer target, menghubungkannya dengan CIA sulit dilakukan hanya dengan melihat komunikasi malware dengan server lain di internet,” kata WikiLeaks.
Seperti ditunjukkan pada diagram, implan malware langsung berkomunikasi dengan situs palsu, berjalan di atas VPS (Virtual Private Server) komersial, yang terlihat polos saat dibuka langsung ke browser web.
Namun, di latar belakang, setelah otentikasi, implan malware dapat berkomunikasi dengan server web (hosting situs palsu), yang kemudian meneruskan lalu lintas terkait malware ke server CIA “tersembunyi” yang disebut ‘Blot‘ melalui koneksi VPN yang aman.
Server Blot kemudian meneruskan lalu lintas ke gerbang pengelolaan operator implan yang disebut ‘Honeycomb’.
Untuk menghindari deteksi oleh administrator jaringan, implan malware menggunakan sertifikat digital palsu untuk Kaspersky Labs.
“Sertifikat digital untuk otentikasi implan dihasilkan oleh CIA yang meniru entitas yang ada,” kata WikiLeaks.
“Tiga contoh yang disertakan dalam source code tersebut membuat sebuah sertifikat palsu untuk perusahaan anti-virus Kaspersky Laboratory, Moskow yang pura-pura akan ditandatangani oleh Thawte Premium Server CA, Cape Town.”
WikiLeaks telah merilis source code untuk Project Hive yang sekarang tersedia bagi siapa saja, termasuk jurnalis investigatif dan ahli forensik, untuk mendownload dan menggali fungsinya.
Source code yang diterbitkan di seri Vault 8 hanya berisi perangkat lunak yang dirancang untuk berjalan di server yang dikendalikan oleh CIA, sementara WikiLeaks memastikan bahwa organisasi tersebut tidak akan melepaskan zero-day atau kerentanan keamanan serupa yang dapat disalahgunakan oleh orang lain.
