Wikileak ปล่อยข้อมูล project Vault 7 เพิ่มเติมว่าทาง CIA มีเครื่องมืออีกตัวที่เอาไว้ฝัง backdoor แบบติดทนนานฝังรากลึกไว้ในเครื่อง Windows โดยเครื่องมือดังกล่าวชื่อว่า AngelFire

ก่อนหน้านี้ Wikileak เปิดเผยข้อมูลของ CIA โดยใช้ชื่อ project Vault 7 leak ซึ่ง project ดังกล่าวเปิดเผยข้อมูลการโจมตีทางด้าน cyber ของ CIA ซึ่ง AngelFire เป็นตัวที่ 22 แล้วที่ทาง Wikileak ได้ทำการนำมาเปิดเผยต่อบุคคลทั่วไป

AngelFire เป็น framework สำหรับการฝังตัว backdoor บนเครื่อง Windows ของเหยื่อ(จำเป็นต้องใช้สิทธิ์ Administrator)โดยการเข้าไปแก้ไข partition boot sector โดย AngelFire มีส่วนการทำงาน 5 ส่วนคือ

1. Solartime คือส่วนสำหรับการเข้าไปแก้ไข partition boot sector สำหรับการโหลดและรัน Wolfcreek (kernel code – ส่วนที่ 2)  ทุกๆครั้งที่เครื่องถูกเปิด

2. Wolfcreek คือตัว kernel ที่จะโหลด driver ส่วนอื่นๆและ application อื่นๆใน user-mode ขึ้นมา

3. Keystone คือส่วนที่ใช้งาน DLL injection เพื่อจะทำการรัน malicious application ตรงๆจาก memory โดยไม่มีการทิ้งไฟล์ใดๆไว้ในเครื่อง

4. BadMFS คือการแปลงไฟล์ให้เป็นไฟล์ system แล้วทำการติดตั้งตัวเองไปยังส่วนที่เหลืออยู่บนเครื่องเหยื่อและทำการเก็บ driver ต่างๆที่ Wolfcreek ทำการรัน

5. Windows Transitory File System คือส่วนที่จะติดตั้ง AngelFire ซึ่งจะทำให้ CIA สามารถสร้างไฟล์ชั่วคราวภายในเครื่องเหยื่อผ่านการทำงานของ AngelFire

ตัว AngelFire มี 2 version คือ 32bit สำหรับการทำงานบน Windows XP และ Windows 7 ส่วน 64bit สำหรับการทำงานบนเครื่อง 2008 R2 และ Windows 7 ครับ

Source:: TheHackerNews