Framework Marble miał pomóc CIA we wrobieniu Rosji i Chin w malware

Wikileaks udostępniło kolejny zestaw tajemnic CIA, które publikuje pod wspólną nazwą Vault 7. Tym razem do rąk internautów trafiło 676 plików źródłowych składających się narzędzie o nazwie Marble Framework. Jest ono wykorzystywane przez CIA do ukrycia źródła dokonywanych przez Agencję ataków. Marble Framework jest niewielki, zmieścił się w skompresowanym pliku .ZIP o pojemności około 0,5 MB. Wikileaks twierdzi, że dzięki temu narzędziu CIA jest w stanie ukryć fakt, że stoi za atakami malware'owymi.

Specjaliści, którzy przeanalizowali kod Marble Framework zauważyli, że nie tylko stara się on ukryć prawdziwe pochodzenie szkodliwego kodu i źródło ataku, ale również wprowadzić śledczych w błąd, przekonując ich, że autorzy złośliwego kodu posługiwali się obcymi językami, np. chińskim. Później jednak i chiński jest ukrywany, co powinno jeszcze bardziej zmylić śledczych i skłonić ich do wyciągnięcia fałszywych wniosków.

Sęk w tym, że przedstawione funkcje dodawania ciągów napisów w obcych językach mogą oszukać jedynie ignoranta, np. nieznającego żadnych obcych języków badacza z USA, ale każdy, kto zna chociaż podstawy np. rosyjskiego czy chińskiego, zauważy, że to bełkot, zbitki przypadkowo wziętych liter czy znaków.

Ujawniony przez Wikileaks kod jest w dużej mierze skierowany przeciwko dość starym programom lub też atakuje już załatane luki. Co prawda Wikileaks twierdzi, że Marble Framework był używany jeszcze w ubiegłym roku, jednak nie przestawia na to żadnych dowodów.