
Baptisé Angelfire, la boîte à outils cible Windows XP et Windows 7 et se compose de cinq éléments qui travaillent de concert pour compromettre un système.
Tout d'abord vient Solartime, l’outil dont l’objectif est de modifier le secteur de démarrage pour exécuter un second module appelé Wolfcreek à chaque fois que le système démarre.
Wolfcreek quant à lui est un pilote autochargeur (code kernel que Solartime exécute) qui charge d'autres pilotes et des applications en mode utilisateur.
Le troisième composant s'appelle Keystone dont la CIA a eu spécialement recours étant donné qu’il a permis aux agents de déployer des logiciels malveillants supplémentaires sur les systèmes infectés. C'est une partie de l'implant de Wolfcreek qui exploite l'injection DLL pour exécuter les applications utilisateur malveillantes directement dans la mémoire système sans les laisser dans le système de fichiers. Il est responsable du démarrage des applications utilisateur malveillantes.
Le quatrième composant baptisé BadMFS est une bibliothèque utilisée pour créer un système de fichiers cachés à la fin de la partition activée (ou dans un fichier sur disque dans les versions ultérieures). Il est utilisé comme un dépôt pour les conducteurs et les implants que Wolfcreek va lancer. Tous les fichiers sont à la fois chiffrés et obscurcis.
Et le dernier est le système de fichiers transitoires Windows, WikiLeaks a expliqué qu’il a été développé comme une alternative à BadMFS. Son objectif est d'utiliser des fichiers temporaires au lieu de compter sur un système de fichiers qui stocke localement des informations.
Problèmes connus
WikiLeaks explique que malgré les composants complexes inclus dans Angelfire, les outils de piratage pourraient être facilement découverts, en raison d'une série de problèmes que même la CIA a reconnus dans les manuels qui ont fuité.
Par exemple, Keystone s'est déguisée en copie de svchost.exe et se trouvait toujours dans C: \ Windows \ system32, donc si le système d'exploitation était installé sur une partition ou un emplacement différent, le processus aurait pu déclencher une analyse plus poussée.
En outre, le système de fichiers BadMFS a créé un fichier appelé ZF que les utilisateurs ont pu rencontrer lorsqu'ils travaillent sur leur système. Et enfin, la CIA prévient qu'un plantage potentiel de l'un des composants susmentionnés aurait déclenché des notifications visibles.
Angelfire a été spécialement conçu pour Windows 7 et Windows XP, le projet ayant été développé avant les débuts de Windows 8 en 2012.
Ci-dessous la liste des publications de Wikileaks depuis mars :
- AngelFire - 31 août 2017
- ExpressLane - 24 août 2017
- Couchpotato - 10 août 2017
- Dumbo - 3 août 2017
- Imperial - 27 juillet 2017
- UCL / RAYTHEON - 19 juillet 2017
- HighRise - 13 juillet 2017
- BothanSpy et Gyrfalcon - 06 juillet 2017
- OutlawCountry - 30 juin, 2017
- Malware ELSA - 28 juin 2017
- Cherry Blossom - 15 juin 2017
- Pandemic - 1er juin 2017
- Athena - 19 mai 2017
- AfterMidnight - 12 mai 2017
- Archimedes - 5 mai 2017
- Scribbles - 28 avril 2017
- Weeping Angel - 21 avril 2017
- Ruche - 14 avril 2017
- Grasshopper - 7 avril 2017
- Marble Framework - 31 mars 2017
- Dark Matter - 23 mars 2017
Source : WikiLeaks