Vault 8: WikiLeaks Merilis Kode Sistem Pengendalian Malware CIA


Hampir dua bulan setelah merilis rincian 23 proyek hacking CIA rahasia yang berbeda dalam seri Vault 7, Wikileaks kali ini mengumumkan seri Vault 8 baru yang akan mengungkapkan kode sumber dan informasi tentang infrastruktur backend yang dikembangkan oleh hacker CIA.

Bukan hanya pengumuman, namun organisasi whistleblower juga telah menerbitkan batch pertama kebocoran Vault 8, melepaskan kode sumber dan log pengembangan Project Hive komponen backend yang signifikan yang digunakan agen untuk mengendalikan malware secara diam-diam.

Pada bulan April tahun ini, WikiLeaks mengungkapkan sebuah informasi singkat tentang Project Hive, mengungkapkan bahwa proyek ini adalah server komando dan kontrol lanjutan (sistem kontrol malware) yang berkomunikasi dengan perangkat lunak perusak untuk mengirim perintah guna menjalankan tugas tertentu pada target dan menerima informasi yang telah exfiltrated dari mesin target.

Hive adalah sistem all-in-one multi-user yang dapat digunakan oleh beberapa operator CIA untuk mengendalikan beberapa implan malware dari jarak jauh yang digunakan dalam operasi yang berbeda.

Infrastruktur sarang telah dirancang khusus untuk mencegah atribusi, yang mencakup situs web palsu yang dihadapi publik menyusul komunikasi multi tahap melalui Virtual Private Network (VPN).
"Menggunakan sarang bahkan jika sebuah implan ditemukan di komputer target, menghubungkannya dengan CIA sulit dilakukan hanya dengan melihat komunikasi malware dengan server lain di internet," kata WikiLeaks.

Seperti ditunjukkan pada diagram, implan malware langsung berkomunikasi dengan situs palsu, berjalan di atas VPS komersial (Virtual Private Server), yang terlihat polos saat dibuka langsung ke browser web.

Namun, di latar belakang, setelah otentikasi, implan malware dapat berkomunikasi dengan server web (hosting situs palsu), yang kemudian meneruskan lalu lintas terkait malware ke server CIA "tersembunyi" yang disebut 'Blot' melalui koneksi VPN yang aman.

Server Blot kemudian meneruskan lalu lintas ke gerbang pengelolaan operator implan yang disebut ' Honeycomb '.


Untuk menghindari deteksi oleh administrator jaringan, implan malware menggunakan sertifikat digital palsu untuk Lab Kaspersky.
"Sertifikat digital untuk otentikasi implan dihasilkan oleh CIA yang meniru entitas yang ada," kata WikiLeaks.

"Tiga contoh yang disertakan dalam kode sumber tersebut membuat sebuah sertifikat palsu untuk perusahaan anti-virus Kaspersky Laboratory, Moskow yang pura-pura akan ditandatangani oleh Thawte Premium Server CA, Cape Town."

Organisasi whistleblowing telah merilis kode sumber untuk Project Hive yang sekarang tersedia bagi siapa saja, termasuk jurnalis investigatif dan ahli forensik, untuk mendownload dan menggali fungsinya.


Kode sumber yang diterbitkan di seri Vault 8 hanya berisi perangkat lunak yang dirancang untuk berjalan di server yang dikendalikan oleh CIA, sementara WikiLeaks memastikan bahwa organisasi tersebut tidak akan melepaskan kerentanan keamanan nol hari atau serupa yang dapat disalahgunakan oleh orang lain.