Wikileaks ha publicado la cuarta parte de “Vault 7”, llamado “Grasshopper” (saltamontes o langosta en español), la última de una serie de filtraciones detallando presuntamente técnicas de hackeo de la CIA. En él se detalla que el software malicioso que Wikileaks afirma fue robado de una “sospechoso grupo criminal ruso organizado”.

La última publicación consiste de 27 documentos que Wikileaks sostiene que vienen del “Framework Grasshopper” de la CIA, una plataforma para crear malware para su uso en sistemas operativos de Microsoft Windows.

En un comunicado de WikiLeaks, se describió cómo “Grasshopper” proveía a la CIA con la capacidad de construir un implante personalizado el cual se comportaría diferente, dependiendo de la capacidad de seguridad de una computadora.

Según WikiLeaks, Grasshopper realiza “una inspección previa a la instalación del dispositivo de destino, asegurando que la carga sólo se instalará si el objetivo tiene la configuración correcta”.

Esto les permite a los operadores de la CIA detectar si un dispositivo está ejecutando una versión específica de Microsoft Windows o si un antivirus está en funcionamiento, según el comunicado.

Grasshopper permite que las herramientas sean instaladas y ejecutadas en una máquina sin detección mediante la evitación de PSP, lo que le permite evitar productos de seguridad personal como MS Security Essentials, Rising, Symantec Endpoint o Kaspersky IS.

Uno de los llamados mecanismos de persistencia, que permite al malware evitar la detección y permanecer en un sistema informático indefinidamente, se lo conoce como “Stolen Goods” (o Bienes Robados en español).

En la publicación de WikiLeaks, se le da crédito a Umbrage, un grupo dentro de la Subdivisión de Desarrollo Remoto de la CIA, el cual se lo a vinculado en la publicación “Year Zero”para recolectar malware robado y usarlo para ocultar sus propias huellas dactilares en el hackeo.

Los componentes del mecanismo “Stolen Goods” fue tomado de un malware conocido como Carperb, “un rootkit sospechoso del crimen organizado ruso,” alega WikiLeaks.

Stolen Goods apunta a la secuencia de arranque de una maquina con Windows, cargando un controlador en el sistema que le permite seguir ejecutando código cuando el proceso de arranque se termina.

WikiLeaks confirmó que la CIA no sólo se limitó a copiar y pegar el malware ruso sino que se apropió “del método de persistencia y partes del instalador,” el cual luego se modificó para ajustarse a los propósitos de la CIA.

La última publicación vino con un emblema que contiene un saltamontes y las palabras: “Mira antes de saltar, en una posible referencia a cómo las últimas herramientas filtradas permitiría a la CIA preparar una máquina para realizar futuro hacking, sin levantar sospechas.

Los rootkits pueden ser instalados y utilizados como un “infiltrado”, que puede permitir que más malware no sea detectado en el futuro, si así la CIA lo veía necesario. Si se levantaban sospechas durante la instalación inicial, ellos sabrían cuándo dejar de proceder con instalaciones más extensivas.

También se detalló en la publicación a Buffalo y a Bamboo, módulos que esconden malware dentro de DLLs, una colección de librerías compartidas, en sistema Windows.

Los dos módulos funcionan de maneras ligeramente diferentes: Buffalo se ejecuta inmediatamente en la instalación, mientras que Bamboo requiere un reinicio para funcionar correctamente.

Según declara WikiLeaks, el objetivo de esta publicación de documentos es ayudar a los usuarios a defender sus sistemas contra cualquier sistema de seguridad comprometida existente.

También se detalla a ScheduledTask, un componente de Grasshopper que permite utilizar el Programador de Tareas de Windows para programar ejecutables. El componente permitiría que los ejecutables se ejecuten automáticamente al inicio o inicio de sesión, antes de matarlo al final de su duración. Se incluyen en ScheduledTask comandos que permiten ocultar los nombres de los ejecutables y la descripción.

La publicación de documentos es la cuarta de una serie llamada “Vault 7”, que WikiLeaks afirma contener documentos tomados dentro de la CIA. Las publicaciones hasta ahora incluyen ‘Zero Days’, que detalla el hackeo de la CIA de  televisores inteligentes de Samsung, y ‘Marble’, lo que permitió a la CIA disfrazar sus hackeos y atribuirlos a otros, incluida Rusia.

No te vayas sin comentar: