Estas herramientas de la CIA hackean computadoras Windows en silencio a través de la red

WikiLeaks ha publicado un nuevo lote de la fuga en curso Vault 7 , esta vez detallando un supuesto proyecto de la CIA que permitió a la agencia convertir servidores de archivos de Windows en máquinas de ataque encubiertas que pueden infectar de forma silenciosa otros ordenadores de interés dentro de una red de destino.


Codenamed Pandemic , la herramienta es un implante persistente para máquinas Microsoft Windows que comparten archivos con usuarios remotos en una red local.

Los documentos filtrados por la organización de denunciantes datan de abril de 2014 a enero de 2015.

Según WikiLeaks, Pandemic infecta redes de computadoras Windows a través del protocolo de intercambio de archivos de Server Message Block (SMB) reemplazando el código de la aplicación al instante con una versión trojanizada del software.

«Pandemic es una herramienta que se ejecuta como kernel shellcode para instalar un controlador de filtro de sistema de archivos», lee un manual de la CIA. «El filtro ‘reemplazará’ un archivo de destino con el archivo de carga útil dado cuando un usuario remoto acceda al archivo a través de SMB (sólo lectura, no escribir)».

‘Pandemic’ convierte servidores de archivos en ‘Patient Zero’

Una vez comprometido, el servidor de archivos infectado de Windows actúa como un » Cero Paciente » – el primer portador identificado de cualquier enfermedad contagiosa durante un brote – que luego se utiliza para entregar infecciones en las máquinas dentro de la red.

Ahora, cada vez que un equipo de destino intenta acceder a un archivo en el servidor comprometido, Pandemic intercepta la solicitud de SMB y secretamente entrega una versión maliciosa del archivo solicitado, que luego es ejecutado por el equipo de destino.

Según el manual del usuario, Pandemic tarda sólo 15 segundos en instalarse en una máquina de destino y puede sustituir hasta 20 archivos legítimos (archivos de 32 bits y de 64 bits) de una vez con un tamaño de archivo máximo de 800 MB.

Dado que la herramienta ha sido específicamente diseñada para infectar servidores corporativos de intercambio de archivos y convertirlos en un portador secreto para entregar malware a otras personas en la red de destino, se ha denominado Pandemic.

Sin embargo, los documentos filtrados no explican con precisión cómo se instala Pandemic en un servidor de archivos de destino.

El ex empleado de la Agencia Nacional de Seguridad (NSA), Jake Williams, también cuestionó si los documentos filtrados por el grupo de denunciantes necesarios para aprovechar la herramienta Pandemic habían sido puestos en libertad.

«Cuando examinas el volcado #pandemic @wikileaks, pregúntate: ¿Dónde está el resto de los documentos? Comparado este volcado con cualquiera de los otros, verás que hay mucho menos datos de los que tenemos con GRASSHOPPER , etc. No tiene los otros archivos? Parece poco probable «, dijo Williams.

La semana pasada, WikiLeaks descartó el marco de software espía de la CIA, denominado Athena – que proporciona «beacon remoto y capacidades de cargador en los equipos de destino» – que funciona contra todas las versiones de los sistemas operativos Windows de Microsoft, desde Windows XP a Windows 10.

El spyware ha sido diseñado para tomar el control total de las PC infectadas de Windows de forma remota, lo que permite a la CIA realizar todo tipo de cosas en el sistema de destino, incluyendo la eliminación de datos o la carga de software malicioso y el robo de datos.

Desde marzo, el grupo de denunciantes ha publicado 10 lotes de la serie «Vault 7» , que incluye las fugas de última y última semana, junto con los siguientes lotes:

  • AfterMidnight y Assassin – dos marcos de malware aparentes de la CIA para la plataforma Microsoft Windows diseñados para monitorear y reportar acciones en el equipo host remoto infectado y ejecutar acciones maliciosas.
  • Arquímedes – una herramienta de ataque del hombre-en-medio (MitM) supuestamente creada por la CIA para apuntar los ordenadores dentro de una Red de Área Local (LAN).
  • Scribbles– un pedazo de software supuestamente diseñado para incrustar «faros web» en documentos confidenciales, permitiendo a la agencia de espionaje rastrear a iniciados y denunciantes.
  • Marble – revela un marco que permitió a la agencia crear fácilmente malware personalizado para entrar en Windows de Microsoft y evitar la protección antivirus.
  • Mármol – reveló el código fuente de un marco secreto anti-forense, básicamente un obfuscator o un packer utilizado por la CIA para ocultar la fuente real de su malware.
  • Dark Matter – centrado en la piratería explora la agencia diseñada para apuntar iPhones y Macs.
  • Weeping Angel – herramienta de espionaje utilizada por la agencia para infiltrarse en la televisión inteligente, transformándolos en micrófonos encubiertos.
  • Year Zero – descargó explotaciones de hacking de la CIA para hardware y software populares.

Fuente: TheHackerNews