Sebagai bagian dari seri kebocoran Vault 7 yang sedang berlangsung, WikiLeaks kini mengungkapkan tentang kontraktor CIA yang bertanggung jawab menganalisis malware dan teknik hacking tingkat lanjut yang digunakan di alam bebas oleh penjahat cyber dan kebocoran ini diberi judul UCL / Raytheon.
Menurut dokumen yang dibocorkan oleh WikiLeaks, Raytheon Blackbird Technologies, kontraktor Central Intelligence Agency (CIA), menyerahkan hampir lima laporan tersebut ke CIA sebagai bagian dari proyek Komponen UMBRAGE Component Library (UCL) antara November 2014 dan September 2015.
Laporan ini berisi analisis singkat tentang ide proof-of-concept dan vektor serangan malware – yang dipresentasikan secara publik oleh periset keamanan dan diam-diam dikembangkan oleh kelompok hacking spionase cyber.
Laporan yang disampaikan oleh Raytheon diduga membantu Remote Development Branch (RDB) CIA mengumpulkan gagasan untuk mengembangkan proyek malware lanjutan mereka sendiri.
Hal itu juga diungkapkan dalam kebocoran Vault 7 sebelumnya bahwa tim pengembang malware UMBRAGE juga mencomot kode dari sampel malware yang tersedia untuk membangun alat spyware miliknya sendiri.
Berikut daftar dan informasi singkat dari setiap laporan:
- Laporan 1 – Analis Raytheon merinci varian Remote Access Tool (RAT) HTTPBrowser, yang mungkin dikembangkan pada tahun 2015. RAT yang dirancang untuk menangkap keystroke dari sistem yang ditargetkan, digunakan oleh kelompok spionase cyber Cina yang disebut ‘Emissary Panda’.
- Laporan 2 – Dokumen ini merinci varian Remote Access Tool (RAT) NfLog, juga dikenal sebagai IsSpace, yang digunakan oleh Samurai Panda, diidentifikasi sebagai grup hacking Cina lainnya. Dilengkapi dengan Adobe Flash zero-day exploit CVE-2015-5122 dan teknik bypass UAC, malware ini juga mampu mengendus atau menghitung kredensial proxy untuk melewati Windows Firewall.
- Laporan 3 – Laporan ini berisi rincian tentang “Regin” – contoh malware sangat canggih yang telah terlihat beroperasi sejak 2013 dan terutama dirancang untuk pengawasan dan pengumpulan data. Regin adalah alat spionase cyber, yang konon lebih canggih daripada kedua Stuxnet dan Duqu dan diyakini dikembangkan oleh badan intelijen AS NSA. Maware ini menggunakan pendekatan modular yang memungkinkan operator mengaktifkan spying yang disesuaikan. Desain Regin membuat malware sangat sesuai untuk operasi pengawasan massal jangka panjang yang tahan lama terhadap target.
- Laporan 4 – Ini merinci sampel malware yang diduga disponsori oleh Rusia yang disebut “HammerToss,” yang ditemukan pada awal 2015 dan dicurigai beroperasi sejak akhir 2014. Yang membuat HammerToss menarik adalah arsitekturnya, yang memanfaatkan akun Twitter, akun GitHub, situs web yang dikompromikan, dan penyimpanan Cloud mengatur fungsi command-and-control untuk menjalankan perintah pada sistem yang ditargetkan.
- Laporan 5 – Dokumen ini merinci kode injeksi dan metode pengintaian API dari informasi yang dicuri Trojan yang disebut “Gamker“. Gamker menggunakan dekripsi sederhana, kemudian menjatuhkan salinan dirinya dengan menggunakan nama file acak dan menginjeksi dirinya ke dalam proses yang berbeda. Trojan ini juga menunjukkan perilaku trojan khas lainnya.
Pekan lalu, WikiLeaks mengungkapkan proyek Highrise CIA yang memungkinkan badan intelijen mengumpulkan dan mencuri data curian dari smartphone yang dikompromikan ke servernya melalui pesan SMS.
Sejak bulan Maret, WikiLeaks telah menerbitkan 17 batch seri “Vault 7“, yang mencakup kebocoran terbaru dan terakhir minggu ini.
