Aggiornamenti recenti Ottobre 29th, 2025 2:50 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Atlas, browser basato su ChatGPT, consente l’injection di comandi malevoli
- I cyberattacchi al governo U.S.A. sono quasi raddoppiati dopo lo “shutdown”
- Dante, lo spyware italiano usato in campagne di cyberspionaggio
- CERT-AGID 18–24 ottobre: phishing a tema PagoPA e Fascicolo Sanitario
- Il Pwn2Own Irlanda si è concluso con oltre 1 milione di dollari di vincite
Il malware Athena della CIA sviluppato con un contractor privato
WikiLeaks pubblica la documentazione sul trojan in dotazione agli 007. Sviluppato con la società privata Siege Technologies, funziona su tutte le versioni di Windows da XP a 10.
Non solo software “fatto in casa”: nell’arsenale della Central Intelligence Agency ci sono anche malware sviluppati in collaborazione con contractor privati.
A rivelarlo (ma non è una grossa sorpresa) è WikiLeaks, che oggi ha pubblicato sul suo sito i documenti dei CIA Leaks relativi ad Athena, un trojan in grado di funzionare con tutte le versioni di Windows (da XP all’ultimo Windows 10) e che consente agli 007 americani di portare attacchi mirati ai loro bersagli.
L’impianto sarebbe stato sviluppato in collaborazione con Siege Technologies, una società privata che si occupa di “sorveglianza informatica” e che nel 2016 è stata acquisita da Nehemiah Security.
Come si legge nel manuale d’uso, Athena mette a disposizione un builder che consente agli agenti CIA di creare l’impianto in modo che si adatti all’ambiente di lavoro in cui dovrà operare. In altre parole, il builder consente di realizzare un trojan “cucito su misura” per il dispositivo che si vuole infettare.
Il malware, stando alla documentazione, consentirebbe anche una forma di installazione residente esclusivamente in memoria (fileless) che consentirebbe una maggiore probabilità di aggirare i controlli antivirus.
L’installer così ottenuto è programmato per ottenere la persistenza sul computer infetto e comunicare con un server remoto in attesa di istruzioni. Stando alla documentazione pubblicata da WikiLeaks, il malware avrebbe una configurazione base (Athena) e una avanzata (Hera) che differiscono in quanto a caratteristiche tecniche.
Hera, a differenza della versione ”base” Athena, ottiene la persistenza attraverso il processo DNScache, ma stando alle note conclusive richiede un riavvio della macchina per ottenere i necessari privilegi di esecuzione.
Hera, nel dettaglio, sarebbe compatibile solo con le versioni più recenti di Windows (8 e 10) e utilizzerebbe tecniche di persistenza più avanzate (inserendosi a livello di Dnscache) sfruttando inoltre un sistema di crittografia AES 256, più complesso del sistema XTEA (che tra l’altro non è efficace sui sistemi a 64 bit) utilizzato da Athena.
Per quanto riguarda le funzionalità, però, i due impianti si equivalgono e in particolare sono focalizzati sulle funzioni di esfiltrazione di file dalle macchine infette e la possibilità di sfruttare la loro funzione modulare per installare ulteriori payload sulla macchina. Insomma: niente di molto diverso dai malware “commerciali” che siamo abituati a vedere.
La notizia arriva proprio quando il Senato degli Stati Uniti sta avviando i primi passi per l’implementazione del Protecting Our Ability to Counter Hacking (PATCH) Act, il provvedimento legislativo che dovrebbe introdurre delle regole certe per gestire la comunicazione alle società private da parte delle agenzie governative di vulnerabilità individuate in software e sistemi operativi. Probabile che dalle parti di Microsoft non vedano l’ora che la legge diventi operativa…
Condividi l'articolo
Come funziona la “fabbrica” del phishing?
I pirati pubblicano le master key per il ransomware Wallet
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Atlas, browser basato su ChatGPT, consente... I ricercatori di LayerX hanno scoperto una vulnerabilità... -
I cyberattacchi al governo U.S.A. sono quasi raddoppiati... L’interruzione delle attività governative negli... -
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware...
-
CERT-AGID 18–24 ottobre: phishing a tema PagoPA e... Nel periodo compreso tra il 18 e il 24 ottobre,... -
Il Pwn2Own Irlanda si è concluso con oltre 1 milione di... Il Pwn2Own di ottobre, tenutosi a Cork, in Irlanda, si...
Ransomware: la serie
No posts found.