WikiLeaks: ’CIA-malware nestelt zich in niet-gepartitioneerde ruimte’

De CIA beschikt over malware die zich in niet-gepartitioneerde ruimte op de harde schijf van een slachtoffer kan nestelen. Hiervoor past de malware de partitiebootsector van Windows XP en Windows 7 systemen aan. Vervolgens kan de malware worden gebruikt om andere malware op het systeem te installeren.

Dit meldt WikiLeaks in nieuw gepubliceerde documenten. De malware heet Solartime en is volgens de klokkenluiderswebsite onderdeel van het Angelfire project van de CIA. Dit project bestaat uit vijf componenten: Solartime, Wolfcreek, Keystone (voorheen bekend als MagicWand), BadMFS en het Windows Transitory File systeem.

Partitiebootsector aanpassen

Solartime wijzigt de partitiebootsector, om zo de Wolfcreek kernelcode te laden waarmee het Windows-bootproces wordt gewijzigd. Deze wijziging in het bootproces zorgt dat het component Keystone wordt gedownload, dat verantwoordelijk is voor het starten van malafide user-mode applicaties.

Wikileaks stelt dat er geen communicatie plaatsvindt tussen de geladen malware en het bestandssysteem, waardoor zeer weinig forensische bewijs kan worden gevonden dat de malware ooit op het systeem heeft gedraaid. De malware worden altijd vermomd als "C:\Windows\system32\svchost.exe”.

Verborgen bestandssysteem

BadMFS is een library die een verborgen bestandssysteem laad op geïnfecteerde systemen. In dit bestandssysteem wordt alle drivers en malware die door Wolfcreek worden gestart opgeslagen. Alle bestanden worden hierbij versleuteld en obfuscatie wordt toegepast om detectie te voorkomen. WikiLeaks merkt op dat sommige versies van BadMFS kunnen worden gedetecteerd, aangezien in een bestand genaamd ‘zf’ wordt verwezen naar dit verborgen bestandssysteem.

Tot slot wijst WikiLeaks op het Windows Transitory File system, dat volgens de klokkenluiderssite een nieuwe methode is om Angelfire te installeren.

Meer informatie over het Angelfire project is te vinden in de documenten die WikiLeaks hierover heeft gepubliceerd.