CIA Imperial: Aeris, Achilles und SeaPea – Malware / Trojaner für Linux und macOS

31 Juli 2017 Kein Kommentar Autor: Jürgen (jdo)

Im Zuge von Vault 7 hat WikiLeaks neue Dokumente über ein Programm veröffentlicht, das sich Imperial nennt. Darin geht es um Malware-Programme oder Trojaner, die sich Aeris, Achilles und SeaPea nennen. Aeris hat es auf Linux abgesehen und Achilles sowie SeaPea zielen auf macOS ab.

Aeris – Trojaner für Linux und andere UNIX-artige Betriebssysteme

Bei Aeris handelt es sich um ein automatisiertes Implantat, das in C geschrieben ist. Es läuft auf einigen POSIX-basierten Systemen wie zum Beispiel Red Hat Enterprise Linux (RHEL), Debian, Solaris, FreeBSD und CentOS. Genauer gesagt sind im Dokument explizit diese Distributionen aufgeführt:

Debian Linux 7 (i386), Debian Linux 7 (amd64), Debian Linux 7 (ARM), Red Hat Enterprise Linux 6 (i386), Red Hat Enterprise Linux 6 (amd64), Solaris 11 (i386), Solaris 11 (SPARC), FreeBSD 8 (i386), FreeBSD 8 (amd64), CentOS 5.3 (i386) and CentOS 5.7 (i386).

Die Malware oder der Trojaner kann automatisch Dateien extrahieren sowie Beacon-Intervalle konfigurieren und unterstützt auch Jitter. Weiterhin gibt es Unterstützung für das SMP-Protokoll und so weiter. Die Dokumentation hinsichtlich der Funktionen liest sich so:

  • Configurable beacon interval and jitter
  • Standalone and Collide-based HTTPS LP support
  • SMTP protocol support
  • TLS Encrypted communications with mutual authentication (Appendices C and D)
  • Compatibility with the NOD Cryptographic Specification (Appendices C and D)
  • Structured command and control that is similar to that used by several Windows implant- (section IV)
  • Automated file exfiltration (section IV)
  • Simple and flexible deployment and installation (section III).
Aeris ist ein Trojaner, der unter anderem Linux im Visier hat

Aeris ist ein Trojaner, der unter anderem Linux im Visier hat

Ihren Namen hat die Software von Aeris Gainsborough, einem populären Charakter aus Final Fantasy VII.

Aeris Gainsborough

Aeris Gainsborough

Achilles

Mit Achilles hat ein Angreifer die Möglichkeit, einen .dmg-Installer mit einem Trojaner zu versehen. Der Angreifer würde einer .dmg-Datei mit einem ausführbaren Programm erweitern, das genau einmal ausgeführt wird. Nach der Installation des eigentlichen Programms wird die sogenannte Payload installiert, die sich danach selbst aus der .dmg-Datei entfernt.

SeaPea

Bei SeaPea handelt es sich um ein Rootkit für Mac OS X. Die Software läuft laut WikiLeaks unter Mac OS 10.6 (Snow Leopard) und 10.7 (Lion). SeaPea ist nicht neu, denn WikiLeaks hatte das Handbuch bereits im März schon einmal veröffentlicht – Stichwort DarkSeaSkies. Da SeaPea anscheinend bereits im Jahre 2011 entwickelt wurde und auch keine neueren Versionen von Mac OS X erwähnt, ist fraglich, ob die Malware auf neueren Apple-Betriebssystemen weiterhin funktioniert. Natürlich gibt es immer die Möglichkeit, dass eine Malware unter einem anderen Namen weiterentwickelt wird.

Weitere Informationen zu Aeris, Achilles und SeaPea findest Du bei Vault 7 / WikiLeaks.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten