Os serviços secretos e os serviços de inteligência dos Estados Unidos têm na Wikileaks o seu braço delator que poderá pôr em causa as operações que estas agências secretamente tentam colocar em prática.
Agora, o Wikileaks revela código que pode desmascarar as operações de hackers da CIA.
O Vault 7 é uma série de documentos que a WikiLeaks começou a lançar no dia 7 de março deste ano, que detalha atividades da Agência Central de Inteligência dos Estados Unidos (CIA) para executar vigilância eletrónica e guerra cibernética.
Até esta semana, os lançamentos de ficheiros do “Vault 7” da WikiLeaks eram constituídos, em grande parte, por documentação relativa a vários projetos de malware que o Grupo de Desenvolvimento de Engenharia (EDG) da CIA criou com o objetivo de auxiliar nas missões da agência.
Ao que dá a entender a informação revelada, na tarde de sexta-feira o WikiLeaks começou a lançar partes da biblioteca de desenvolvimento da CIA. E, embora o lançamento não contenha nenhum malware, tem potencialmente informação que poderá ser a mais sensível e prejudicial à agência até hoje revelada. Esta informação diz agora respeito a operações da CIA ainda em curso.
As informações reveladas dizem respeito a um repositório de código para as ferramentas de ofuscação EDG da CIA, chamado Marble.
As ferramentas foram usadas para ocultar a assinatura dos implantes desenvolvidos pela CIA a partir das verificações do malware, dificultando quer a utilização de engenharia reversa, caso fossem detetadas, quer para dificultar a procedência desse mesmo malware.
Numa declaração ao Washington Post o investigador da Universidade da Califórnia em Berkeley, Nicholas Weaver, disse que:
Esta parece ser uma das fugas de informação tecnicamente mais prejudicial alguma vez publicada pela WikiLeaks, pois parece que foi pensada para interferir diretamente com as operações da CIA.
Não há nada particularmente mágico sobre as ferramentas da CIA. O que há de mais relevante é que estas foram desenvolvidas e testadas por uma equipa profissional e o código em si é extremamente bem documentado.
Marble… o secreto código desvendado
O código implantado nos sistemas Windows foi ofuscado por uma ferramenta chamada Marble, que é uma aplicação desenvolvida em C++ que oculta as strings de texto e objetos binários através de várias formes de implante.
Esses métodos incluem “codificar” o conteúdo binário usando uma série de técnicas de mudança de bits e inserir trechos de idiomas estrangeiros (como chinês ou persa) com um recurso chamado “WARBL”.
Os caracteres no seu conjunto, inseridos com o código, parecem ser principalmente texto jargão, incompreensível (incluindo mesmo “Lorem ipsum” em caracteres ocidentais, nalguns casos), que poderia ser para substituir por partes de texto mais reveladoras, ou então para algo mais específico do projecto.
A existência do código só por si não é assim tão revelador, até porque as técnicas foram desmascaradas nos documentos iniciais lançados pelo Wikileaks. A ofuscação do código é a parte fundamental do autor na arte “anti-forence”, tornando difícil ao “adversário” utilizar engenharia reversa e reverter o que está a tentar ser ocultado e executado. Contudo, com a informação agora revelada, os programadores podem criar ferramentas que pesquisem os implantes exactos da CIA. Pior que isso é os programadores usarem esta técnica para o seu próprio malware que é ainda mais danoso.