Global Preloader
Noticia Internacional
(17/May/2017) Wikileaks revela dos malware desarrollados por la CIA

Wikileaks revela dos malware desarrollados por la CIA

WikiLeaks dio a conocer detalles sobre lo que afirma son dos marcos para las muestras de malware denominadas AfterMindnight y Assassin, ambas supuestamente desarrolladas por la Agencia Central de Inteligencia de Estados Unidos. Las revelaciones vienen en medio de los esfuerzos mundiales para sofocar las variantes del ransomware de WannaCry, una herramienta de hacking ofensiva supuestamente desarrollada por la Agencia de Seguridad Nacional.

El lanzamiento es también el último de WikiLeaks y parte de su Vault 7 de las filtraciones que comenzaron en marzo que exponía actividades y capacidades de la CIA. Esta última versión incluye cinco documentos que explican cómo los agentes pueden cargar y ejecutar malware en los equipos de destino.

AfterMidnight, de acuerdo con los documentos de WikiLeaks, se disfraza como una DLL de servicio de Windows persistente con el propósito de proporcionar la ejecución segura de "Gremlins" a través de un puerto escucha basado en HTTPS llamado Octopus. Los supuestos documentos de la CIA describen "Gremlins" como pequeñas cargas útiles
ocultas destinadas a ejecutarse en un PC de destino. Su objetivo es "subvertir la funcionalidad de software dirigido, (incluida la exfiltración de datos), o proporcionar servicios internos para otros gremlins", de acuerdo con WikiLeaks.

"Una vez instalado en una máquina de destino (AfterMindnight) volverá a llamar a un configurado (Listening Post) en una programación configurable, comprobando si hay un nuevo plan para ejecutarlo. Si lo hay, descarga y almacena todos los componentes necesarios antes de cargar todos los nuevos gremlins en la memoria".

En un ejemplo, extraído de la guía del usuario de 68 páginas de AfterMidnight, la CIA parece tener un objetivo único cuando se trata de "subvertir la funcionalidad" del software en PCs objetivo.

De acuerdo con la descripción de WikiLeaks de Assassin, el malware es similar en función de AfterMindnight y actúa como una plataforma de colección en equipos remotos para PCs con Windows.

"Una vez que la herramienta se instala en el objetivo, el implante se ejecuta dentro de un proceso de servicio de Windows. Entonces periódicamente se comunica a su puerto escucha configurado para solicitar la tarea y entregar resultados. La comunicación se produce a través de uno o más protocolos de transporte configurados antes o durante la implementación ", según la guía de 204 páginas.

El conjunto de herramientas Assassin, de acuerdo con el manual del usuario, utiliza un cifrado de flujo RC4 modificado para proporcionar servicios criptográficos. Cualquier información almacenada en el sistema de archivos de destino o enviada a través del cable se cifra antes de la exposición potencial.

El mes pasado, WikiLeaks dio a conocer detalles sobre un programa de rastreo de documentos llamado Scribbles, parte del esfuerzo de la agencia para mantener las pestañas de los documentos filtrados a los denunciantes ya los periodistas. Scribbles supuestamente incrusta una etiqueta de estilo web beacon en marcas de agua ubicadas en documentos de Microsoft Word que pueden reportar análisis de documentos de nuevo a la CIA.