Wikileaks reveló 3 más documentos de software espía que provienen de la CIA Bóveda 7 fugas. La liberación es parte de un proyecto llamado “Imperial” que incluye tres herramienta de hacking avanzada que se utiliza para espiar a los usuarios en todo el mundo. Se llaman Aquiles, SeaPea y Aeris utilizan para infiltrarse en los sistemas Mac OS X y Linux.
Bóveda de la CIA 7 Revela fuga de Aquiles - Mac OS X de Troya
Los operadores de la CIA utilizan la herramienta de hacking de Aquiles de modificar legítimos instaladores de Mac OS X. La documentación muestra que lanzado la primera versión principal se hizo en 2011. Sin embargo la prueba real del software se han hecho en 2009 con la versión de Mac OS X 10.6 con una compilación anterior. Se compone de una colección de secuencias de comandos shell ejecutada usando la consola de comandos BASH. Le dan a la CIA la capacidad de modificar las variables importantes que conducen a la ejecución de comandos arbitrarios de una sola vez.
Los archivos de instalación modificados se hacen para parecerse a los archivos originales. Cuando las víctimas que se ejecutan en su sistema un indicador de notificación que les pide que arrastrar el software para el directorio de aplicaciones. Después de que el programa se ejecuta por primera vez todos los archivos ejecutables legítimos con el fin de no levantar ninguna sospecha. El código malicioso se ejecuta en paralelo y el código de Aquiles se retira después de que el programa haya terminado. Esto se hace para eliminar todo rastro de la inyección maliciosa.
SeaPea Mac OS X Rootkit Desarrollado por la CIA Bóveda 7
SeaPea es un especialista en Mac OS X rootkit hecha por los agentes de la CIA como se describe en la Bóveda 7 fuga. Es capaz tanto de ocultarse de la detección y lanzar comandos peligrosas en las máquinas infectadas. Es compatible con las versiones de Mac OS X 10.6 y 10.7 tanto en su 32 y comunicados de 64 bits. Utilizando el software espía SeaPea los usuarios pueden ocultar el archivo peligroso y también lanzar varios comandos.
Para ser efectiva los agentes de la CIA necesitan utilizar un enfoque de dos etapas infección:
- Edificio SeaPea - Este es un script en Python clasificado que crea instancias del rootkit SeaPea. Se puede personalizar a seguir un patrón de comportamiento predefinido una vez que se inicia la infección.
- Iniciación ataque - Este es el segundo módulo de infección que forma parte del rootkit SeaPea Mac OS X. Es una secuencia de comandos que se utiliza para lanzar los ataques de infiltración.
Las opciones de configuración incluyen el directorio de inicio de rootkits, directorio de implante, archivo de persistencia, lista de secuencias de comandos, cargador y otros. La CIA ha hecho varios tipos de instalación - instalación fresca (con una parada en archivos), actualizar a las infecciones existentes y una por separado “sin eliminar” opción que no permite la función de auto-borrado instalador. Si el instalador encuentra algún error durante la fase de infección un código de error se genera en la salida estándar. El software malicioso SeaPea requiere acceso de root para infiltrarse con éxito los sistemas. Posibles errores incluyen: formatear el disco duro, actualización de la versión, parámetros incorrectos.
El rootkit sigue una rutina de infección por el primer conjunto de verificación para cualquier emergencia de kernel. El motor determina entonces el sistema operativo exacta y la versión del kernel. Dependiendo de la versión de Mac OS X versión del rootkit apropiado es cargado. El cargador se inicia un auto-diagnóstico para asegurarse de que todos los componentes funcionan correctamente. El motor asigna procesos para tres categorías predefinidas: Normal, Élite (oculto a los procesos normales y de élite, ellos no pueden ver su propia actividad) y Super-Elite (se puede ver todas las actividades y se oculta a otros procesos). Categoría proceso de cambios se realizan utilizando comandos especializados.
Aeris es un implante Automatizado Hecho por la CIA
Se trata de un implante automatizado escrito en el lenguaje de programación C, que trabaja con una amplia gama de sistemas operativos populares. Esto incluye las distribuciones populares de Linux (como Red Hat Enterprise Linux, Debian y Ubuntu), así como Solaris y FreeBSD. Un constructor se utiliza para generar las cepas individuales y ayuda a los operadores a lanzar contra objetivos Aeris. Su lista de características incluye las siguientes capacidades:
- Autónomo y HTTPS chocan con sede en LP apoyo
- compatibilidad con el protocolo SMTP
- comunicaciones TLS cifrado con autenticación mutua (Apéndices C y D)
- Compatibilidad con el NOD criptográfico Especificación (Apéndices C y D)
- estructurada comando y control que es similar a la utilizada por varias ventanas
implante- (sección IV) - exfiltración fichero automatizado (sección IV)
- implementación simple y flexible y la instalación (sección III).
El implante Aeris necesita ser desplegado manualmente por los agentes de la CIA. Se puede informar a la agencia de espionaje a través de servidores de red suministradas. Esto se realiza mediante una conexión segura (empleando el protocolo HTTPS) como cada instancia implante tiene una autoridad de certificación único.
Otras herramientas de software espía de la CIA que se esperan de Wikileaks
Wikileaks continuamente publicará nueva información acerca de las operaciones de espionaje instituidas por la CIA y otras agencias de los Estados Unidos de América. Una gran parte de las herramientas se han hecho hace varios años y es probable que no se está utilizando de forma activa más. Esto puede significar que las agencias están usando ahora una nueva generación de herramientas que todavía son actualmente desconocidos para el público en general y de la comunidad de seguridad. Suponemos que si existen tales herramientas son probablemente una amenaza evolucionada para la seguridad de todos los usuarios de computadoras en todo el mundo.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: