¿Por qué crees que se están publicando los malwares de la CIA / NSA?

Presione soltar

Hoy, martes 7 de marzo de 2017, WikiLeaks comienza su nueva serie de filtraciones en la Agencia Central de Inteligencia de EE. UU. Con el nombre en código “Vault 7” por WikiLeaks, es la publicación más grande de documentos confidenciales en la agencia.

La primera parte completa de la serie, “Año Cero”, comprende 8.761 documentos y archivos de una red aislada de alta seguridad situada dentro del Centro de Inteligencia Cibernética de la CIA en Langley, Virginia. Sigue una revelación introductoria el mes pasado de la CIA dirigida a partidos políticos y candidatos franceses en el período previo a las elecciones presidenciales de 2012.

Recientemente, la CIA perdió el control de la mayoría de su arsenal de piratería, incluidos malware, virus, troyanos, exploits “día cero” armados, sistemas de control remoto de malware y documentación asociada. Esta colección extraordinaria, que asciende a más de varios cientos de millones de líneas de código, le da a su poseedor toda la capacidad de piratería de la CIA. El archivo parece haber circulado entre ex piratas informáticos y contratistas del gobierno de EE. UU. De manera no autorizada, uno de los cuales ha proporcionado a WikiLeaks partes del archivo.

“Year Zero” presenta el alcance y la dirección del programa global de piratería encubierta de la CIA, su arsenal de malware y decenas de exploits armados de “día cero” contra una amplia gama de productos de compañías estadounidenses y europeas, incluidos el iPhone de Apple, Android de Google y Windows de Microsoft y incluso televisores Samsung, que se convierten en micrófonos encubiertos.

Desde 2001, la CIA ha ganado preeminencia política y presupuestaria sobre la Agencia de Seguridad Nacional (NSA) de EE. UU. La CIA se encontró construyendo no solo su infame flota de drones, sino también un tipo muy diferente de fuerza encubierta que abarca todo el mundo: su propia flota sustancial de hackers. La división de piratería de la agencia lo liberó de tener que revelar sus operaciones a menudo controvertidas a la NSA (su principal rival burocrático) para aprovechar las capacidades de piratería de la NSA.

A fines de 2016, la división de piratería de la CIA, que se encuentra formalmente bajo el Centro de Inteligencia Cibernética (CCI) de la agencia, tenía más de 5000 usuarios registrados y había producido más de mil sistemas de piratería, troyanos, virus y otro malware “armado”. . Tal es la escala de la empresa de la CIA que para 2016, sus piratas informáticos habían utilizado más código del que solía ejecutar Facebook. La CIA había creado, en efecto, su “propia NSA” con aún menos responsabilidad y sin responder públicamente a la pregunta de si un gasto presupuestario tan masivo para duplicar las capacidades de una agencia rival podría estar justificado.

En una declaración a WikiLeaks, la fuente detalla las preguntas de política que dicen que deben ser debatidas con urgencia en público, incluso si las capacidades de piratería de la CIA exceden sus poderes obligatorios y el problema de la supervisión pública de la agencia. La fuente desea iniciar un debate público sobre la seguridad, la creación, el uso, la proliferación y el control democrático de las armas cibernéticas.

Una vez que un solo ‘arma’ cibernética está ‘suelta’, puede extenderse por todo el mundo en segundos, para ser utilizada por estados rivales, ciber mafia y piratas informáticos adolescentes por igual.

Julian Assange, editor de WikiLeaks declaró que “existe un riesgo extremo de proliferación en el desarrollo de ‘armas’ cibernéticas. Se pueden establecer comparaciones entre la proliferación incontrolada de tales ‘armas’, que resulta de la incapacidad de contenerlas combinadas con su alto mercado valor y el comercio mundial de armas. Pero la importancia del “Año Cero” va mucho más allá de la elección entre la ciberguerra y la ciberpeace. La divulgación también es excepcional desde una perspectiva política, legal y forense “.

Wikileaks ha revisado cuidadosamente la divulgación del “Año Cero” y ha publicado documentación sustantiva de la CIA, evitando la distribución de armas cibernéticas “armadas” hasta que surja un consenso sobre la naturaleza técnica y política del programa de la CIA y cómo dichas “armas” deberían analizarse, desarmarse y publicarse .

Wikileaks también ha decidido redactar y anonimizar cierta información de identificación en el “Año Cero” para un análisis en profundidad. Estas redacciones incluyen diez de miles de objetivos de la CIA y máquinas de ataque en América Latina, Europa y los Estados Unidos. Si bien somos conscientes de los resultados imperfectos de cualquier enfoque elegido, seguimos comprometidos con nuestro modelo de publicación y observamos que la cantidad de páginas publicadas en “Vault 7” primera parte (“Año Cero”) ya eclipsa el número total de páginas publicadas durante los primeros tres años de las filtraciones de la NSA de Edward Snowden.

Análisis

El malware de la CIA apunta a iPhone, Android, televisores inteligentes

El malware de la CIA y las herramientas de piratería están construidas por EDG (Grupo de Desarrollo de Ingeniería), un grupo de desarrollo de software dentro de CCI (Centro de Inteligencia Cibernética), un departamento que pertenece a la Dirección de Innovación Digital (DDI) de la CIA. El DDI es una de las cinco principales direcciones de la CIA (consulte este organigrama de la CIA para obtener más detalles).

El EDG es responsable del desarrollo, las pruebas y el soporte operativo de todas las puertas traseras, exploits, cargas maliciosas, troyanos, virus y cualquier otro tipo de malware utilizado por la CIA en sus operaciones encubiertas en todo el mundo.

La creciente sofisticación de las técnicas de vigilancia ha hecho comparaciones con 1984 de George Orwell, pero “Weeping Angel”, desarrollado por la rama de dispositivos integrados (EDB) de la CIA, que infesta televisores inteligentes, transformándolos en micrófonos encubiertos, es seguramente su realización más emblemática.

El ataque contra los televisores inteligentes Samsung se desarrolló en cooperación con el MI5 / BTSS del Reino Unido. Después de la infestación, Weeping Angel coloca el televisor objetivo en modo ‘Fake-Off’, de modo que el propietario cree falsamente que el televisor está apagado cuando está encendido. En el modo ‘Fake-Off’, el televisor funciona como un error, graba conversaciones en la sala y las envía por Internet a un servidor secreto de la CIA.

A partir de octubre de 2014, la CIA también estaba buscando infectar los sistemas de control de vehículos utilizados por los automóviles y camiones modernos. El propósito de dicho control no se especifica, pero permitiría a la CIA participar en asesinatos casi indetectables.

La rama de dispositivos móviles (MDB) de la CIA desarrolló numerosos ataques para hackear y controlar de forma remota los teléfonos inteligentes populares. Los teléfonos infectados pueden recibir instrucciones de enviar a la CIA las comunicaciones de geolocalización, audio y texto del usuario, así como activar encubiertamente la cámara y el micrófono del teléfono.

A pesar de la participación minoritaria de iPhone (14.5%) en el mercado global de teléfonos inteligentes en 2016, una unidad especializada en la rama de desarrollo móvil de la CIA produce malware para infestar, controlar y filtrar datos de iPhones y otros productos de Apple con iOS, como iPads. El arsenal de la CIA incluye numerosos “días cero” locales y remotos desarrollados por la CIA u obtenidos de GCHQ, NSA, FBI o adquiridos de contratistas de ciber armas como Baitshop. El enfoque desproporcionado en iOS puede explicarse por la popularidad del iPhone entre las élites sociales, políticas, diplomáticas y empresariales.

Una unidad similar apunta al Android de Google, que se utiliza para ejecutar la mayoría de los teléfonos inteligentes del mundo (~ 85%), incluidos Samsung, HTC y Sony. Se vendieron 1.15 mil millones de teléfonos con Android el año pasado. El “Año Cero” muestra que a partir de 2016 la CIA tenía 24 “días cero” “armados con Android”, que se desarrolló y obtuvo de GCHQ, NSA y contratistas de armas cibernéticas.

Estas técnicas permiten a la CIA eludir el cifrado de WhatsApp, Signal, Telegram, Wiebo, Confide y Cloackman al piratear los teléfonos “inteligentes” que utilizan y recopilar el tráfico de audio y mensajes antes de aplicar el cifrado.

El malware de la CIA se dirige a Windows, OSx, Linux, enrutadores

La CIA también ejecuta un esfuerzo muy importante para infectar y controlar a los usuarios de Microsoft Windows con su malware. Esto incluye múltiples “cero días” armados locales y remotos, virus de salto de espacio de aire como “Hammer Drill” que infecta el software distribuido en CD / DVD, infectores para medios extraíbles como USB, sistemas para ocultar datos en imágenes o en áreas de discos encubiertos (“Brutal Kangaroo”) y para mantener en marcha sus infestaciones de malware.

Muchos de estos esfuerzos de infección están unidos por la Rama de Implantes Automatizados (AIB) de la CIA, que ha desarrollado varios sistemas de ataque para la infestación y el control automatizados del malware de la CIA, como “Assassin” y “Medusa”.

Los ataques contra la infraestructura de Internet y los servidores web son desarrollados por la Rama de Dispositivos de Red (NDB) de la CIA.

La CIA ha desarrollado sistemas automatizados de ataque y control de malware multiplataforma que cubren Windows, Mac OS X, Solaris, Linux y más, como “HIVE” de EDB y las herramientas relacionadas “Cutthroat” y “Swindle”, que se describen en los ejemplos. sección a continuación.

Vulnerabilidades ‘acumuladas’ de la CIA (“cero días”)

A raíz de las filtraciones de Edward Snowden sobre la NSA, la industria tecnológica de EE. UU. Se aseguró un compromiso de la administración de Obama de que el ejecutivo divulgaría de manera continua, en lugar de atesorar, vulnerabilidades serias, exploits, errores o “cero días” para Apple, Google, Microsoft y otros fabricantes estadounidenses.

Las vulnerabilidades graves que no se divulgan a los fabricantes ponen en riesgo a grandes sectores de la población y la infraestructura crítica para la inteligencia extranjera o los delincuentes cibernéticos que descubren o escuchan rumores de la vulnerabilidad de forma independiente. Si la CIA puede descubrir tales vulnerabilidades, también pueden otros.

El compromiso del gobierno de los EE. UU. Con el Proceso de Renta Variable de Vulnerabilidades se produjo después de un importante cabildeo por parte de las empresas de tecnología de EE. UU. El gobierno declaró que divulgaría todas las vulnerabilidades penetrantes descubiertas después de 2010 de manera continua.

Los documentos del “Año Cero” muestran que la CIA incumplió los compromisos de la administración Obama. Muchas de las vulnerabilidades utilizadas en el arsenal cibernético de la CIA son generalizadas y algunas ya pueden haber sido encontradas por agencias de inteligencia rivales o delincuentes cibernéticos.

Como ejemplo, el malware específico de la CIA revelado en el “Año Cero” puede penetrar, infestar y controlar tanto el software del teléfono Android como del iPhone que ejecuta o ha ejecutado cuentas presidenciales de Twitter. La CIA ataca este software mediante el uso de vulnerabilidades de seguridad no reveladas (“cero días”) que posee la CIA, pero si la CIA puede piratear estos teléfonos, entonces todos los demás que hayan obtenido o descubierto la vulnerabilidad. Mientras la CIA mantenga ocultas estas vulnerabilidades de Apple y Google (que fabrican los teléfonos), no serán reparadas y los teléfonos seguirán siendo pirateables.

Existen las mismas vulnerabilidades para la población en general, incluido el gabinete de los EE. UU., El Congreso, los principales directores ejecutivos, administradores de sistemas, oficiales de seguridad e ingenieros. Al ocultar estos defectos de seguridad de fabricantes como Apple y Google, la CIA asegura que puede hackear a todos & mdsh; a expensas de dejar a todos hackeables.

Los programas de ‘guerra cibernética’ representan un grave riesgo de proliferación

Las ‘armas’ cibernéticas no son posibles de mantener bajo control efectivo.

Si bien la proliferación nuclear se ha visto limitada por los enormes costos y la infraestructura visible involucrada en el ensamblaje de suficiente material fisionable para producir una masa nuclear crítica, las ‘armas’ cibernéticas, una vez desarrolladas, son muy difíciles de retener.

Las “armas” cibernéticas son, de hecho, solo programas informáticos que pueden piratearse como cualquier otro. Como están completamente compuestos de información, pueden copiarse rápidamente sin costo marginal.

Asegurar tales ‘armas’ es particularmente difícil ya que las mismas personas que las desarrollan y usan tienen las habilidades para exfiltrar copias sin dejar rastros, a veces utilizando las mismas ‘armas’ contra las organizaciones que las contienen. Existen incentivos de precios sustanciales para que los piratas informáticos y consultores del gobierno obtengan copias, ya que existe un “mercado de vulnerabilidad” global que pagará de cientos de miles a millones de dólares por copias de tales ‘armas’. Del mismo modo, los contratistas y las empresas que obtienen tales ‘armas’ a veces las usan para sus propios fines, obteniendo ventaja sobre sus competidores en la venta de servicios de ‘piratería’.

En los últimos tres años, el sector de inteligencia de los Estados Unidos, que consiste en agencias gubernamentales como la CIA y la NSA y sus contratistas, como Booz Allan Hamilton, ha estado sujeto a una serie de datos sin precedentes por parte de sus propios trabajadores.

Varios miembros de la comunidad de inteligencia aún no nombrados públicamente han sido arrestados o sujetos a investigaciones penales federales en incidentes separados.

Más visiblemente, el 8 de febrero de 2017, un gran jurado federal de EE. UU. Acusó a Harold T.Martin III con 20 cargos de mal manejo de información clasificada. El Departamento de Justicia alegó que incautó unos 50,000 gigabytes de información de Harold T. Martin III que había obtenido de programas clasificados de la NSA y la CIA, incluido el código fuente de numerosas herramientas de piratería.

Una vez que un solo ‘arma’ cibernética está ‘suelta’, puede extenderse por todo el mundo en segundos, para ser utilizada por estados similares, ciber mafia y piratas informáticos adolescentes por igual.

El Consulado de los Estados Unidos en Frankfurt es una base secreta de hackers de la CIA

Además de sus operaciones en Langley, Virginia, la CIA también utiliza el consulado de los Estados Unidos en Frankfurt como base secreta para sus piratas informáticos que cubren Europa, Oriente Medio y África.

Los piratas informáticos de la CIA que operan desde el consulado de Frankfurt (“Centro de Inteligencia Cibernética de Europa” o CCIE) reciben pasaportes diplomáticos (“negros”) y cobertura del Departamento de Estado. Las instrucciones para los piratas informáticos entrantes de la CIA hacen que los esfuerzos de contrainteligencia de Alemania parezcan intrascendentes: “Pase rápidamente por la Aduana alemana porque tiene su historia de cobertura para la acción y todo lo que hicieron fue sellar su pasaporte”

Tu historia de portada (para este viaje)
P: ¿Por qué estás aquí?
A: Apoyo a consultas técnicas en el Consulado.

Dos publicaciones anteriores de WikiLeaks brindan más detalles sobre los enfoques de la CIA a los procedimientos de detección aduaneros y secundarios.

Una vez en Frankfurt, los piratas informáticos de la CIA pueden viajar sin más controles fronterizos a los 25 países europeos que forman parte de la zona fronteriza abierta de Shengen, incluidos Francia, Italia y Suiza.

Varios de los métodos de ataque electrónico de la CIA están diseñados para la proximidad física. Estos métodos de ataque pueden penetrar redes de alta seguridad que están desconectadas de Internet, como la base de datos de registros policiales. En estos casos, un oficial de la CIA, un agente o un oficial de inteligencia aliado que actúa bajo instrucciones, se infiltra físicamente en el lugar de trabajo objetivo. El atacante cuenta con un USB que contiene malware desarrollado para la CIA para este propósito, que se inserta en la computadora objetivo. El atacante luego infecta y extrae datos a medios extraíbles. Por ejemplo, el sistema de ataque de la CIA, Fine Dining, ofrece 24 aplicaciones de señuelo para que los espías de la CIA las usen. Para los testigos, el espía parece estar ejecutando un programa que muestra videos (por ejemplo, VLC), presentando diapositivas (Prezi), jugando un juego de computadora (Breakout2, 2048) o incluso ejecutando un escáner de virus falso (Kaspersky, McAfee, Sophos). Pero mientras la aplicación señuelo está en la pantalla, el sistema subyacente se infecta y saquea automáticamente.

Cómo la CIA aumentó dramáticamente los riesgos de proliferación

En lo que seguramente es uno de los objetivos más sorprendentes de inteligencia propia en la memoria viva, la CIA estructuró su régimen de clasificación de tal manera que para la parte más valiosa del mercado de “Vault 7”: el malware armado de la CIA (implantes + cero días), Listening Posts ( LP) y los sistemas de Comando y Control (C2): la agencia tiene pocos recursos legales.

La CIA hizo estos sistemas sin clasificar.

La razón por la cual la CIA decidió no clasificar su ciberarsenal revela que los conceptos desarrollados para uso militar no pasan fácilmente al “campo de batalla” de la “guerra” cibernética.

Para atacar a sus objetivos, la CIA generalmente requiere que sus implantes se comuniquen con sus programas de control a través de Internet. Si los implantes de la CIA, el software Command & Control y Listening Post se clasificaran, entonces los oficiales de la CIA podrían ser procesados ​​o despedidos por violar las reglas que prohíben colocar información clasificada en Internet. En consecuencia, la CIA ha ocultado en secreto la mayor parte de su código de espionaje cibernético / guerra. El gobierno de los Estados Unidos tampoco puede hacer valer los derechos de autor, debido a restricciones en la Constitución de los Estados Unidos. Esto significa que los fabricantes de “armas” cibernéticas y los piratas informáticos pueden “piratear” libremente estas “armas” si se obtienen. La CIA ha tenido que confiar principalmente en la ofuscación para proteger sus secretos de malware.

Se pueden disparar armas convencionales como misiles al enemigo (es decir, a un área no segura). La proximidad o impacto con el objetivo detona la munición, incluidas sus partes clasificadas. Por lo tanto, el personal militar no viola las reglas de clasificación al disparar municiones con piezas clasificadas. Las municiones probablemente explotarán. Si no es así, esa no es la intención del operador.

Durante la última década, las operaciones de piratería de EE. UU. Se han visto cada vez más vestidas con jerga militar para aprovechar las fuentes de financiación del Departamento de Defensa. Por ejemplo, los intentos de “inyecciones de malware” (jerga comercial) o “gotas de implantes” (jerga de la NSA) se denominan “fuegos” como si se disparara un arma. Sin embargo, la analogía es cuestionable.

A diferencia de las balas, las bombas o los misiles, la mayoría del malware de la CIA está diseñado para vivir durante días o incluso años después de que haya alcanzado su “objetivo”. El malware de la CIA no “explota al impactar”, sino que infesta permanentemente a su objetivo. Para infectar el dispositivo del objetivo, se deben colocar copias del malware en los dispositivos del objetivo, dando la posesión física del malware al objetivo. Para volver a filtrar datos a la CIA o esperar más instrucciones, el malware debe comunicarse con los sistemas de Comando y Control (C2) de la CIA ubicados en servidores conectados a Internet. Pero tales servidores generalmente no están aprobados para contener información clasificada, por lo que los sistemas de comando y control de la CIA también se clasifican sin clasificar.

Un ‘ataque’ exitoso en el sistema informático de un objetivo es más como una serie de complejas maniobras de stock en una oferta hostil de adquisición o la siembra cuidadosa de rumores para obtener el control sobre el liderazgo de una organización en lugar del disparo de un sistema de armas. Si hay que hacer una analogía militar, la infestación de un objetivo puede ser similar a la ejecución de una serie de maniobras militares contra el territorio del objetivo, incluida la observación, infiltración, ocupación y explotación.

Evasión forense y antivirus

Una serie de normas establece los patrones de infestación de malware de la CIA que probablemente ayudarán a los investigadores forenses de la escena del crimen, así como a Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens y las compañías antivirus y atribuyen y defienden contra los ataques.

“Tradecraft DO’s and DON’Ts” contiene reglas de la CIA sobre cómo debe escribirse su malware para evitar huellas dactilares que impliquen a la “CIA, el gobierno de EE. UU. O sus ingeniosas empresas asociadas” en la “revisión forense”. Estándares secretos similares cubren el uso de cifrado para ocultar la comunicación de hackers y malware de la CIA (pdf), describiendo objetivos y datos filtrados (pdf), así como ejecutando cargas útiles (pdf) y persistentes (pdf) en las máquinas del objetivo a lo largo del tiempo.

Los hackers de la CIA desarrollaron ataques exitosos contra los programas antivirus más conocidos. Estos están documentados en derrotas AV, Productos de seguridad personal, Detección y derrota de PSP y Evitación de PSP / Depurador / RE. Por ejemplo, Comodo fue derrotado por el malware de la CIA que se colocó en la “Papelera de reciclaje” de la ventana. Mientras Comodo 6.x tiene un “Gaping Hole of DOOM”.

Los piratas informáticos de la CIA analizaron qué hicieron mal los piratas informáticos del “Grupo de ecuaciones” de la NSA y cómo los fabricantes de malware de la CIA pudieron evitar una exposición similar.

Ejemplos

El sistema de gestión del Grupo de Desarrollo de Ingeniería (EDG) de la CIA contiene alrededor de 500 proyectos diferentes (solo algunos de los cuales están documentados por “Año Cero”) cada uno con sus propios subproyectos, malware y herramientas de piratas informáticos.

La mayoría de estos proyectos se relacionan con herramientas que se utilizan para penetración, infestación (“implantación”), control y exfiltración.

Otra rama de desarrollo se enfoca en el desarrollo y operación de los Sistemas de Escucha de Mensajes (LP) y Comando y Control (C2) utilizados para comunicarse y controlar los implantes de la CIA; Se utilizan proyectos especiales para apuntar hardware específico desde enrutadores a televisores inteligentes.

A continuación se describen algunos proyectos de ejemplo, pero consulte la tabla de contenido para obtener una lista completa de los proyectos descritos por el “Año Cero” de WikiLeaks.

RESENTIMIENTO

Las técnicas de piratería hechas a mano por la CIA representan un problema para la agencia. Cada técnica que ha creado forma una “huella digital” que puede ser utilizada por investigadores forenses para atribuir múltiples ataques diferentes a la misma entidad.

Esto es análogo a encontrar la misma herida de cuchillo distintiva en múltiples víctimas de asesinato separadas. El estilo único de herir crea sospechas de que un solo asesino es responsable. Tan pronto como se resuelve un asesinato en el set, los otros asesinatos también encuentran una posible atribución.

El grupo UMBRAGE de la Rama de Dispositivos Remotos de la CIA recopila y mantiene una biblioteca sustancial de técnicas de ataque ‘robadas’ de malware producido en otros estados, incluida la Federación de Rusia.

Con UMBRAGE y proyectos relacionados, la CIA no solo puede aumentar su número total de tipos de ataque, sino también desviar la atribución al dejar atrás las “huellas digitales” de los grupos a los que se les robaron las técnicas de ataque.

Los componentes UMBRAGE cubren keyloggers, recopilación de contraseñas, captura de cámaras web, destrucción de datos, persistencia, escalada de privilegios, sigilo, evitación de antivirus (PSP) y técnicas de encuesta.

Buena cena

Fine Dining viene con un cuestionario estandarizado, es decir, un menú que los oficiales de casos de la CIA completan. El cuestionario es utilizado por la OSB (Rama de Apoyo Operativo) de la agencia para transformar las solicitudes de los oficiales de casos en requisitos técnicos para ataques de piratería (típicamente “exfiltrando” información de sistemas informáticos) para operaciones específicas. El cuestionario permite al OSB identificar cómo adaptar las herramientas existentes para la operación y comunicarlo al personal de configuración de malware de la CIA. El OSB funciona como la interfaz entre el personal operativo de la CIA y el personal de soporte técnico relevante.

Entre la lista de posibles objetivos de la colección se encuentran ‘Activos’, ‘Activos de enlace’, ‘Administrador del sistema’, ‘Operaciones de información extranjera’, ‘Agencias de inteligencia extranjeras’ y ‘Entidades de gobiernos extranjeros’. Notablemente ausente es cualquier referencia a extremistas o delincuentes transnacionales. También se le pide al ‘Funcionario de casos’ que especifique el entorno del objetivo, como el tipo de computadora, el sistema operativo utilizado, la conectividad a Internet y las utilidades antivirus instaladas (PSP), así como una lista de tipos de archivos que se deben filtrar como documentos de Office , audio, video, imágenes o tipos de archivos personalizados. El ‘menú’ también solicita información si es posible el acceso recurrente al objetivo y durante cuánto tiempo se puede mantener el acceso no observado a la computadora. Esta información es utilizada por el software ‘JQJIMPROVISE’ de la CIA (ver más abajo) para configurar un conjunto de malware de la CIA adecuado a las necesidades específicas de una operación.

Improvisar (JQJIMPROVISE)

‘Improvisar’ es un conjunto de herramientas para la configuración, postprocesamiento, configuración de carga útil y selección de vectores de ejecución para herramientas de levantamiento / filtrado que admiten todos los principales sistemas operativos como Windows (Bartender), MacOS (JukeBox) y Linux (DanceFloor). Sus utilidades de configuración, como Margarita, permiten que el NOC (Centro de operaciones de red) personalice las herramientas en función de los requisitos de los cuestionarios ‘Fine Dining’.

COLMENA

HIVE es una suite de malware CIA multiplataforma y su software de control asociado. El proyecto proporciona implantes personalizables para Windows, Solaris, MikroTik (utilizados en enrutadores de Internet) y plataformas Linux y una infraestructura de puesto de escucha (LP) / comando y control (C2) para comunicarse con estos implantes.

Los implantes están configurados para comunicarse a través de HTTPS con el servidor web de un dominio de cobertura; cada operación que utiliza estos implantes tiene un dominio de cobertura separado y la infraestructura puede manejar cualquier número de dominios de cobertura.

Cada dominio de cobertura se resuelve en una dirección IP que se encuentra en un proveedor comercial de VPS (Servidor Privado Virtual). El servidor público reenvía todo el tráfico entrante a través de una VPN a un servidor ‘Blot’ que maneja las solicitudes de conexión reales de los clientes. Está configurado para la autenticación de cliente SSL opcional: si un cliente envía un certificado de cliente válido (solo los implantes pueden hacerlo), la conexión se reenvía al servidor de herramientas ‘Honeycomb’ que se comunica con el implante; Si falta un certificado válido (que es el caso si alguien intenta abrir el sitio web del dominio de cobertura por accidente), el tráfico se reenvía a un servidor de cobertura que ofrece un sitio web de aspecto poco sospechoso.

El servidor de herramientas Honeycomb recibe información extraída del implante; un operador también puede asignar al implante la tarea de ejecutar trabajos en la computadora de destino, por lo que el servidor de herramientas actúa como un servidor C2 (comando y control) para el implante.

El proyecto RickBobby proporciona una funcionalidad similar (aunque limitada a Windows).

Consulte las guías de usuarios y desarrolladores clasificados para HIVE.

Preguntas frecuentes

¿Porqué ahora?

WikiLeaks publicó tan pronto como su verificación y análisis estuvieron listos.

En febrero, la administración Trump emitió una Orden Ejecutiva pidiendo que se prepare una revisión de “Ciberguerra” dentro de los 30 días.

Si bien la revisión aumenta la oportunidad y la relevancia de la publicación, no desempeñó un papel en el establecimiento de la fecha de publicación.

Redacciones

Los nombres, las direcciones de correo electrónico y las direcciones IP externas se han redactado en las páginas publicadas (70.875 redacciones en total) hasta que se complete el análisis.

  1. Sobre-redacción: Algunos artículos pueden haber sido redactados y que no son empleados, contratistas, objetivos o de otra manera relacionados con la agencia, pero son, por ejemplo, autores de documentación para proyectos públicos que son utilizados por la agencia.
  2. Identidad vs. persona: los nombres redactados son reemplazados por ID de usuario (números) para permitir a los lectores asignar múltiples páginas a un solo autor. Dado el proceso de redacción utilizado, una sola persona puede estar representada por más de un identificador asignado, pero ningún identificador se refiere a más de una persona real.
  3. Los archivos adjuntos (zip, tar.gz, …) se reemplazan con un PDF que enumera todos los nombres de archivo en el archivo. A medida que se evalúa el contenido del archivo, puede estar disponible; hasta entonces el archivo es redactado.
  4. Los archivos adjuntos con otro contenido binario se reemplazan por un volcado hexadecimal del contenido para evitar la invocación accidental de archivos binarios que pueden haber sido infectados con malware CIA armado. A medida que se evalúa el contenido, puede estar disponible; hasta entonces el contenido es redactado.
  5. Las decenas de miles de referencias de direcciones IP enrutables (incluidas más de 22 mil en los Estados Unidos) que corresponden a posibles objetivos, servidores de correos de escucha encubiertos de la CIA, intermediarios y sistemas de prueba, se redactan para una investigación exclusiva adicional.
  6. Los archivos binarios de origen no público solo están disponibles como volcados para evitar la invocación accidental de archivos binarios infectados con malware de la CIA.

Organigrama

El organigrama corresponde al material publicado por WikiLeaks hasta ahora.

Dado que la estructura organizativa de la CIA por debajo del nivel de las Direcciones no es pública, la ubicación del EDG y sus sucursales dentro del organigrama de la agencia se reconstruye a partir de la información contenida en los documentos publicados hasta ahora. Está destinado a ser utilizado como un esbozo de la organización interna; tenga en cuenta que el organigrama reconstruido está incompleto y que las reorganizaciones internas ocurren con frecuencia.

Páginas Wiki

“Year Zero” contiene 7818 páginas web con 943 archivos adjuntos del software de desarrollo interno. El software utilizado para este propósito se llama Confluence, un software propietario de Atlassian. Las páginas web en este sistema (como en Wikipedia) tienen un historial de versiones que puede proporcionar información interesante sobre cómo evolucionó un documento con el tiempo; Los documentos 7818 incluyen estos historiales de páginas para las últimas 1136 versiones.

El orden de las páginas con nombre dentro de cada nivel está determinado por la fecha (la más antigua primero). El contenido de la página no está presente si fue originalmente creado dinámicamente por el software Confluence (como se indica en la página reconstruida).

¿Qué período de tiempo está cubierto?

Los años 2013 a 2016. El orden de clasificación de las páginas dentro de cada nivel está determinado por la fecha (la más antigua primero).

WikiLeaks ha obtenido la fecha de creación / última modificación de la CIA para cada página, pero aún no aparecen por razones técnicas. Por lo general, la fecha se puede discernir o aproximar del contenido y el orden de las páginas. Si es crítico saber la hora / fecha exacta, comuníquese con WikiLeaks.

¿Qué es “Vault 7”?

“Vault 7” es una colección sustancial de material sobre las actividades de la CIA obtenidas por WikiLeaks.

¿Cuándo se obtuvo cada parte de “Vault 7”?

La primera parte se obtuvo recientemente y abarca hasta 2016. Los detalles sobre las otras partes estarán disponibles al momento de la publicación.

¿Cada parte de “Vault 7” proviene de una fuente diferente?

Los detalles sobre las otras partes estarán disponibles al momento de la publicación.

¿Cuál es el tamaño total de “Vault 7”?

La serie es la publicación de inteligencia más grande de la historia.

¿Cómo obtuvo WikiLeaks cada parte de “Vault 7”?

Las fuentes confían en WikiLeaks para no revelar información que pueda ayudar a identificarlos.

¿No le preocupa a WikiLeaks que la CIA actúe contra su personal para detener la serie?

No. Eso sería ciertamente contraproducente.

¿WikiLeaks ya ha “extraído” todas las mejores historias?

No. WikiLeaks no ha escrito intencionalmente cientos de historias impactantes para alentar a otros a encontrarlas y así crear experiencia en el área para las partes posteriores de la serie. Están ahí. Mira. Aquellos que demuestran excelencia periodística pueden ser considerados para el acceso temprano a partes futuras.

¿No encontrarán otros periodistas las mejores historias antes que yo?

Improbable. Hay muchas más historias que periodistas o académicos que están en condiciones de escribirlas.

Related Content

¿Es posible que el malware mueva su ubicación para evitar un escaneo AV?

¿Hay margen para ingenieros de ciberseguridad después de 5 años?

¿Cuáles son los beneficios de los servicios de monitoreo de seguridad?

Distribución de software: quiero un programa (preferiblemente gratuito) que, cuando descargue cualquier tipo de archivo a mi computadora, haga un registro de la fuente de la descarga. ¿Donde puedo conseguir uno?

¿Cómo puedo convertirme en un especialista en seguridad cibernética en la India?

More Interesting

¿El fiscal de distrito obtiene algo de seguridad o faro en la India?

¿Qué es el pirateo ético y cómo lo aprendo?

Cómo eliminar el virus nicesearches

¿Cuáles son los supuestos beneficios de seguridad de la estrategia de correo electrónico "dead-drop" de David Petraeus?

¿Microsoft robaría mi idea de mil millones de dólares si presentara el diseño / plan de negocios en una hoja de cálculo en Windows 10?

¿Cuál es la mejor manera de mejorar la seguridad de un almacén?

¿Las herramientas para desarrolladores de Chrome abren la puerta a riesgos de seguridad en una red?

¿Cómo es el IFS?

¿Es fácil hackear como se muestra en las películas? En caso afirmativo, ¿cómo se hace?

¿Cómo estamos logrando seguridad con IPV6 ya que no hay NATing?

Cómo aprender las pruebas de penetración avanzadas después de aprender los conceptos básicos de las pruebas de penetración

¿Hay alguna manera de personalizar una computadora portátil para que ningún hacker pueda hackearla o abrirla sin proporcionar la contraseña?

¿Por qué Kaspersky se actualiza tan lentamente?

Ley de Internet: ¿es ilegal pedir a los usuarios sus nombres de usuario y contraseñas de Amazon?

¿Puede un antivirus tratar con CryptoLocker?