kentoh - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

WikiLeaks publica código y análisis de herramienta de hackeo de la CIA

Los expertos en seguridad están cuestionando la sabiduría de WikiLeaks al liberar más código fuente de las herramientas de hackeo de la agencia de inteligencia de EE.UU.

La organización que denuncia problemas WikiLeaks ha iniciado una nueva serie de filtraciones del código fuente del software supuestamente diseñado para ejecutarse en servidores controlados por la Agencia Central de Inteligencia de los EE.UU. (CIA).

El primer lanzamiento de la serie dice ser el código fuente y el análisis de un componente principal de la infraestructura utilizada para controlar el malware desarrollado por la CIA.

"Esta publicación permitirá a los periodistas de investigación, expertos forenses y público en general identificar y comprender mejor los componentes encubiertos de la infraestructura de la CIA", dijo WikiLeaks.

La publicación más reciente, llamada "Vault 8", se produce dos meses después de la última serie de filtraciones "Vault 7", realizada durante un período de siete meses.

WikiLeaks afirmó que los documentos provenían de una red aislada y de alta seguridad dentro del Centro de Ciber Inteligencia de la CIA en Langley, Virginia, pero esto nunca ha sido confirmado por la CIA.

La serie anterior de filtraciones mencionaba una suite de malware de la CIA multiplataforma y su software de control asociado, llamado "Hive".

Se decía que el proyecto proporcionaba implantes personalizables para plataformas Windows, Solaris, MikroTik y Linux, y una infraestructura de comando y control (C2) para comunicarse con estos implantes.

La última versión de WikiLeaks proporciona el código fuente, los registros de desarrollo y otra documentación para Hive.

Los documentos complementan la guía de usuarios de Hive, la guía de desarrolladores, la guía de instalación y configuración de infraestructura, y la documentación sobre la infraestructura de Hive Beacon publicada previamente.

Pero WikiLeaks afirma que, al igual que la serie Vault7, el material publicado por WikiLeaks no contiene vulnerabilidades de día cero u otras que puedan ser reutilizadas por otros.

Según WikiLeaks, Hive está diseñado para hacer que los implantes (de malware) sean difíciles de atribuir a la CIA. "Hive proporciona una plataforma de comunicaciones encubierta para toda una gama de malware de la CIA para enviar información exfiltrada a los servidores de la CIA y recibir nuevas instrucciones de los operadores de la CIA", dijo.

Hive fue diseñado para resolver el "problema crítico" de permitir que la CIA se comunique con los implantes de malware en las computadoras de destino de una manera segura que no llame la atención.

Hive logra esto registrando anónimamente un dominio encubierto para cada operación y usando un servidor privado virtual (VPS) alquilado por un proveedor de alojamiento comercial para ejecutar el dominio. Estos servidores se utilizan luego como un retransmisor para el tráfico a través de una conexión de red privada virtual (VPN) a un servidor "oculto" de la CIA.

"Contenido inocente"

El dominio encubierto ofrece contenido "inocente" si alguien se conecta a él por casualidad y parece ser un sitio web normal. Pero debido a que el sitio web utiliza una opción de servidor de protocolo seguro de transferencia de hipertexto (HTTPS) de autenticación de cliente opcional, los implantes pueden usar esto para autenticarse y conectarse al servidor de la CIA.

Los certificados digitales para la autenticación de implantes son generados por la CIA, haciéndose pasar por entidades existentes. Según WikiLeaks, tres ejemplos incluidos en el código fuente crean un certificado falso para la compañía de antivirus Kaspersky Lab, pretendiendo estar firmado por Thawte Premium Server CA.

"De esta forma, si la organización objetivo observa el tráfico de red que sale de su red, es probable que atribuya erróneamente la exfiltración de datos de la CIA a entidades no involucradas cuyas identidades se han suplantado", dijo WikiLeaks.

A las pocas horas de la publicación de Vault 8, Eugen Kaspersky, CEO de Kaspersky Lab, respondió con un tuit: "Hemos investigado el informe de Vault 8 y confirmamos que los certificados en nuestro nombre son falsos. Nuestros clientes, llaves privadas y servicios están seguros y no se ven afectados".

En otra reacción en Twitter, Alan Woodward, consultor de Europol, experto en seguridad cibernética y profesor visitante en la Universidad de Surrey, dijo: "WikiLeaks ahora está liberando la fuente de los exploits en Vault 7. ¿Recuerdan qué pasó la última vez que se filtró ese código de exploits? En espera de otro WannaCry".

Un componente clave de WannaCry fue el aprovechamiento del exploit EternalBlue del protocolo de bloqueo de mensajes de servidor (SMB) de Microsoft, supuestamente robado de la Agencia de Seguridad Nacional de los EE.UU. (NSA) y lanzado por el grupo de piratería Shadow Brokers.

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close