Ketika dunia sedang digemparkan oleh ransomware WannaCry, WikiLeaks kali ini merilis sebuah batch baru dari seri kobocoran Vault 7. Pada batch baru ini, dibocorkan mengenai rincian dari dua framework malware Windows CIA (Central Intelligence Agency) yang sangat jelas menargetkan platform Microsoft Windows.
Disebut “AfterMidnight” dan “Assassin,” kedua program malware ini dirancang untuk memantau dan melaporkan kembali tindakan host komputer remote yang terinfeksi, yang tentunya menjalankan sistem operasi Windows, dan mengeksekusi perintah malicious yang ditentukan oleh CIA.
Sejak bulan Maret, WikiLeaks telah menerbitkan ratusan ribu dokumen dan tool hacking rahasia yang diklaim berasal dari CIA (Central Intelligence Agency) Amerika Serikat.
Dan batch terbaru ini adalah rilisan ke-8 dalam dari seri ‘Vault 7’ yang ditampilkan WikiLeaks.
Framework Malware Windows CIA: “AfterMidnight”
Menurut sebuah pernyataan dari WikiLeaks, ‘AfterMidnight’ memungkinkan operator untuk secara dinamis memuat dan mengeksekusi payload berbahaya pada sistem target.
Pengontrol utama payload berbahaya menyamar sebagai file Windows Dynamic-Link Library (DLL) yang bertahan sendiri dan menjalankan “Gremlins” – muatan kecil yang tetap tersembunyi di mesin target dengan menumbangkan fungsionalitas perangkat lunak yang ditargetkan, mengamati sasaran, atau menyediakan layanan untuk gremlins lainnya.
Setelah diinstal pada mesin target, AfterMidnight menggunakan sistem Listening Post (LP) berbasis HTTPS yang disebut “Octopus” untuk memeriksa setiap acara terjadwal. Jika ditemukan, framework malware akan mendownload dan menyimpan semua komponen yang dibutuhkan sebelum memuat semua gremlins baru di memori.
Menurut sebuah panduan pengguna yang disediakan dalam batch terbaru ini, penyimpanan lokal terkait AfterMidnight dienkripsi dengan kunci yang tidak tersimpan pada mesin target.
Sebuah payload khusus, yang disebut “AlphaGremlin,” berisi bahasa script kustom yang bahkan memungkinkan operator menjadwalkan tugas kustom untuk dieksekusi pada sistem yang ditargetkan.
Framework Malware Windows CIA: “Assassin”
Assassin juga mirip dengan AfterMidnight dan digambarkan sebagai “implan otomatis yang menyediakan platform koleksi sederhana di komputer remote yang menjalankan sistem operasi Microsoft Windows.“
Setelah diinstal pada komputer target, alat ini menjalankan implan dalam proses layanan Windows, yang memungkinkan operator menjalankan tugas berbahaya pada mesin yang terinfeksi, seperti AfterMidnight.
Assassin terdiri dari empat subsistem: Implant, Builder, Command and Control, dan Listening Post.
‘Builder’ mengonfigurasi Implan dan ‘Deployment Executables’ sebelum penerapan dan “menyediakan antarmuka baris perintah khusus untuk menetapkan konfigurasi Implan sebelum membuat Implan,” potongan baris dari panduan pengguna Assassin.
Subsistem ‘Command and Control’ bertindak sebagai penghubung antara operator dan Listening Post (LP), sementara LP memungkinkan Implan Assassin untuk berkomunikasi dengan subsistem Command and Control melalui server web.
Sejak bulan Maret, WikiLeaks telah menerbitkan 8 batch seri “Vault 7”, yang mencakup kebocoran terbaru dan terakhir, bersamaan dengan batch berikut:
