Esta es la revelación más sorprendente de secretos oscuros de la CIA en la historia, superando incluso el depósito de secretos de la NSA de Edward Snowden. Ambos revelan la mentalidad de los tecnócratas que creen que ningún dato está fuera de su alcance y que todos los datos les pertenecen esencialmente para que los tomen. Quieren una visibilidad total de cualquier cosa y de todo lo que elijan poner sus ojos. Esta es una historia de lectura obligada. ⁃ TN Editor
Hoy, martes 7 de marzo de 2017, WikiLeaks comienza su nueva serie de filtraciones sobre la Agencia Central de Inteligencia de EE. UU. Con el nombre en código "Vault 7" de WikiLeaks, es la mayor publicación de documentos confidenciales de la agencia.
La primera parte completa de la serie, "Year Zero", comprende 8,761 documentos y archivos de una red aislada de alta seguridad ubicada dentro del Centro de Inteligencia Cibernética de la CIA en Langley, Virginia. Sigue a una divulgación introductoria el mes pasado de la CIA apuntando a los partidos políticos y candidatos franceses en el período previo a las elecciones presidenciales de 2012.
Recientemente, la CIA perdió el control de la mayor parte de su arsenal de piratería, incluidos malware, virus, troyanos, exploits de "día cero" armados, sistemas de control remoto de malware y documentación asociada. Esta extraordinaria colección, que asciende a más de varios cientos de millones de líneas de código, otorga a su poseedor toda la capacidad de pirateo de la CIA. El archivo parece haber circulado entre antiguos piratas informáticos y contratistas del gobierno de los EE. UU. De manera no autorizada, uno de los cuales ha proporcionado a WikiLeaks partes del archivo.
"Year Zero" presenta el alcance y la dirección del programa global de piratería encubierta de la CIA, su arsenal de malware y docenas de exploits armados de "día cero" contra una amplia gama de productos de empresas estadounidenses y europeas, incluidos el iPhone de Apple, Android de Google y Windows de Microsoft y incluso televisores Samsung, que se convierten en micrófonos encubiertos.
Desde 2001, la CIA ha ganado preeminencia política y presupuestaria sobre la Agencia de Seguridad Nacional de los Estados Unidos (NSA). La CIA se encontró construyendo no solo su ahora infame flota de drones, sino un tipo muy diferente de fuerza encubierta que abarca todo el mundo: su propia flota sustancial de piratas informáticos. La división de piratería de la agencia la liberó de tener que revelar sus operaciones a menudo controvertidas a la NSA (su principal rival burocrático) para aprovechar las capacidades de piratería de la NSA.
A finales de 2016, la división de piratería de la CIA, que formalmente pertenece al Centro de Inteligencia Cibernética (CCI) de la agencia, tenía más de 5000 usuarios registrados y había producido más de mil sistemas de piratería, troyanos, virus y otro malware "armado". . Tal es la escala de la empresa de la CIA que para 2016, sus piratas informáticos habían utilizado más código que el utilizado para ejecutar Facebook. La CIA había creado, en efecto, su "propia NSA" con aún menos responsabilidad y sin responder públicamente a la pregunta de si un gasto presupuestario tan masivo en duplicar las capacidades de una agencia rival podría estar justificado.
En una declaración a WikiLeaks, la fuente detalla cuestiones de política que, según ellos, deben debatirse con urgencia en público, incluido si las capacidades de piratería de la CIA exceden sus poderes establecidos y el problema de la supervisión pública de la agencia. La fuente desea iniciar un debate público sobre la seguridad, creación, uso, proliferación y control democrático de las armas cibernéticas.
Una vez que una sola "arma" cibernética está "suelta", puede extenderse por todo el mundo en segundos, para ser utilizada por estados rivales, mafia cibernética y hackers adolescentes por igual.
Julian Assange, editor de WikiLeaks declaró que “Existe un riesgo de proliferación extremo en el desarrollo de 'armas' cibernéticas. Se pueden establecer comparaciones entre la proliferación incontrolada de tales "armas", que resulta de la incapacidad para contenerlas, combinada con su alto valor de mercado, y el comercio mundial de armas. Pero la importancia del "Año Cero" va mucho más allá de la elección entre la guerra cibernética y la paz cibernética. La divulgación también es excepcional desde una perspectiva política, legal y forense ".
Wikileaks ha revisado cuidadosamente la divulgación del "Año Cero" y ha publicado documentación sustancial de la CIA evitando la distribución de armas cibernéticas "armadas" hasta que surja un consenso sobre la naturaleza técnica y política del programa de la CIA y cómo se deben analizar, desarmar y publicar tales "armas". .
Wikileaks también ha decidido redactar y anonimizar cierta información de identificación en el "Año Cero" para un análisis en profundidad. Estas redacciones incluyen diez de miles de objetivos de la CIA y máquinas de ataque en América Latina, Europa y Estados Unidos. Si bien somos conscientes de los resultados imperfectos de cualquier enfoque elegido, seguimos comprometidos con nuestro modelo de publicación y notamos que la cantidad de páginas publicadas en la primera parte de "Bóveda 7" ("Año cero") ya eclipsa el número total de páginas publicadas durante los primeros tres años de las filtraciones de Edward Snowden NSA.
Análisis
El malware de la CIA apunta a iPhone, Android, televisores inteligentes
Las herramientas de hackeo y malware de la CIA son creadas por EDG (Engineering Development Group), un grupo de desarrollo de software dentro de CCI (Center for Cyber Intelligence), un departamento perteneciente a la DDI (Directorate for Digital Innovation) de la CIA. El DDI es una de las cinco direcciones principales de la CIA (ver este organigrama de la CIA para más detalles).
El EDG es responsable del desarrollo, las pruebas y el soporte operativo de todas las puertas traseras, exploits, cargas maliciosas, troyanos, virus y cualquier otro tipo de malware utilizado por la CIA en sus operaciones encubiertas en todo el mundo.
La creciente sofisticación de las técnicas de vigilancia ha generado comparaciones con 1984 de George Orwell, pero "Weeping Angel", desarrollado por la CIA Rama de dispositivos integrados (EDB), que infesta televisores inteligentes, transformándolos en micrófonos encubiertos, es sin duda su realización más emblemática.
El ataque contra Televisores inteligentes Samsung fue desarrollado en cooperación con el MI5 / BTSS del Reino Unido. Después de la infestación, Weeping Angel coloca el televisor de destino en un modo de "apagado falso", de modo que el propietario cree falsamente que el televisor está apagado cuando está encendido. En el modo 'Fake-Off', el televisor funciona como un error, graba conversaciones en la habitación y las envía por Internet a un servidor encubierto de la CIA.
Se desarrolló la Rama de Dispositivos Móviles (MDB) de la CIA numerosos ataques para hackear y controlar remotamente teléfonos inteligentes populares. Se puede indicar a los teléfonos infectados que envíen a la CIA las comunicaciones de geolocalización, audio y texto del usuario, así como que activen de forma encubierta la cámara y el micrófono del teléfono.
A pesar de la participación minoritaria del iPhone (14.5%) en el mercado mundial de teléfonos inteligentes en 2016, una unidad especializada en la Rama de Desarrollo Móvil de la CIA produce malware para infestar, controlar y exfiltrar datos de iPhones y otros productos de Apple con iOS, como iPads. El arsenal de la CIA incluye numerosos "días cero" locales y remotos desarrollado por la CIA u obtenido de GCHQ, NSA, FBI o comprado a contratistas de ciber armas como Baitshop. El enfoque desproporcionado en iOS puede explicarse por la popularidad del iPhone entre las élites sociales, políticas, diplomáticas y empresariales.
Estas técnicas permiten a la CIA eludir el cifrado de WhatsApp, Signal, Telegram, Wiebo, Confide y Cloackman pirateando los teléfonos "inteligentes" en los que se ejecutan y recopilando audio y tráfico de mensajes antes de aplicar el cifrado.
El malware de la CIA se dirige a Windows, OSx, Linux, enrutadores
Muchos de estos esfuerzos de infección son reunidos por la CIARama de implante automatizada (AIB), que ha desarrollado varios sistemas de ataque para la infestación automatizada y el control de malware de la CIA, como “Assassin” y “Medusa”.
Los ataques contra la infraestructura de Internet y los servidores web son desarrollados por la CIA Rama de dispositivos de red (NDB).
La CIA ha desarrollado sistemas automatizados de control y ataque de malware multiplataforma que cubren Windows, Mac OS X, Solaris, Linux y más, como "HIVE" de EDB y las herramientas relacionadas "Cutthroat" y "Swindle", que son descrito en la sección de ejemplos a continuación.
Vulnerabilidades 'acumuladas' por la CIA ("días cero")
A raíz de las filtraciones de Edward Snowden sobre la NSA, la industria de la tecnología de EE. UU. Aseguró un compromiso por parte de la administración de Obama de que el ejecutivo revelaría de manera continua, en lugar de acumular, vulnerabilidades graves, exploits, errores o "días cero" a Apple. Google, Microsoft y otros fabricantes de EE. UU.
Las vulnerabilidades graves que no se divulgan a los fabricantes ponen en riesgo a grandes sectores de la población y la infraestructura crítica para la inteligencia extranjera o los delincuentes cibernéticos que descubren o escuchan rumores de la vulnerabilidad de forma independiente. Si la CIA puede descubrir tales vulnerabilidades, también pueden otros.
El compromiso del gobierno de Estados Unidos con la Proceso de renta variable de vulnerabilidades Se produjo después de un importante cabildeo por parte de las empresas de tecnología de EE. UU., que corren el riesgo de perder su participación en el mercado mundial por vulnerabilidades ocultas reales y percibidas. El gobierno declaró que divulgaría todas las vulnerabilidades penetrantes descubiertas después de 2010 de forma continua.
Los documentos del “Año Cero” muestran que la CIA violó los compromisos de la administración Obama. Muchas de las vulnerabilidades utilizadas en el arsenal cibernético de la CIA son generalizadas y es posible que algunas agencias de inteligencia rivales o ciberdelincuentes ya las hayan encontrado.
Por ejemplo, el malware específico de la CIA revelado en "Year Zero" es capaz de penetrar, infestar y controlar tanto el teléfono Android como el software del iPhone que ejecuta o ha ejecutado cuentas presidenciales de Twitter. La CIA ataca este software utilizando vulnerabilidades de seguridad no reveladas ("días cero") que posee la CIA, pero si la CIA puede piratear estos teléfonos, también pueden hacerlo todos los que hayan obtenido o descubierto la vulnerabilidad. Mientras la CIA mantenga estas vulnerabilidades ocultas a Apple y Google (quienes fabrican los teléfonos), no serán reparadas y los teléfonos seguirán siendo pirateados.
Las mismas vulnerabilidades existen para la población en general, incluido el Gabinete, el Congreso, los principales directores ejecutivos, los administradores de sistemas, los oficiales de seguridad y los ingenieros de EE. UU. Al ocultar estas fallas de seguridad a fabricantes como Apple y Google, la CIA se asegura de que puede piratear a todos & mdsh; a expensas de dejar a todo el mundo hackeable.
Los programas de 'ciberguerra' son un grave riesgo de proliferación
Las "armas" cibernéticas no son posibles de mantener bajo control efectivo.
Si bien la proliferación nuclear se ha visto restringida por los enormes costos y la infraestructura visible involucrados en el ensamblaje de suficiente material fisible para producir una masa nuclear crítica, las "armas" cibernéticas, una vez desarrolladas, son muy difíciles de retener.
Las «armas» cibernéticas son, de hecho, programas informáticos que pueden piratearse como cualquier otro. Dado que están compuestos completamente de información, se pueden copiar rápidamente sin costo marginal.
Asegurar tales 'armas' es particularmente difícil ya que las mismas personas que las desarrollan y usan tienen las habilidades para exfiltrar copias sin dejar rastros, a veces usando las mismas 'armas' contra las organizaciones que las contienen. Existen incentivos de precios sustanciales para que los piratas informáticos y los consultores del gobierno obtengan copias, ya que existe un "mercado de vulnerabilidad" global que pagará entre cientos de miles y millones de dólares por copias de tales "armas". Del mismo modo, los contratistas y las empresas que obtienen tales 'armas' a veces las utilizan para sus propios fines, obteniendo ventaja sobre sus competidores en la venta de servicios de 'piratería'.
Durante los últimos tres años, el sector de inteligencia de los Estados Unidos, que consiste en agencias gubernamentales como la CIA y la NSA y sus contratistas, como Booze Allan Hamilton, ha estado sujeto a una serie sin precedentes de datos extraídos por sus propios trabajadores.
Varios miembros de la comunidad de inteligencia aún no nombrados públicamente han sido arrestados o sujetos a investigaciones penales federales en incidentes separados.
Más visiblemente, en febrero 8, 2017, un gran jurado federal de EE. UU. Acusó a Harold T.Martin III de 20 por mal manejo de información clasificada. El Departamento de Justicia alegó que incautó algunos gigabytes de información 50,000 de Harold T. Martin III que había obtenido de programas clasificados de la NSA y la CIA, incluido el código fuente de numerosas herramientas de piratería.
Una vez que una sola "arma" cibernética está "suelta", puede extenderse por todo el mundo en segundos, para ser utilizada por estados pares, mafia cibernética y hackers adolescentes por igual.
El Consulado de los Estados Unidos en Frankfurt es una base secreta de hackers de la CIA
Además de sus operaciones en Langley, Virginia, la CIA también utiliza el consulado de los Estados Unidos en Frankfurt como base secreta para sus piratas informáticos que cubren Europa, Oriente Medio y África.
Los piratas informáticos de la CIA que operan desde el consulado de Frankfurt "Centro de Cyber Intelligence Europe" o CCIE) reciben pasaportes diplomáticos ("negros") y cobertura del Departamento de Estado. Las instrucciones para los hackers entrantes de la CIA hacer que los esfuerzos de contrainteligencia de Alemania parezcan intrascendentes: "Pasa rápidamente por la Aduana alemana porque ya tienes tu historia de cobertura para la acción bien definida, y todo lo que hicieron fue sellar tu pasaporte"
Tu historia de portada (para este viaje) Q: ¿Por qué estás aquí? A: Apoyo a consultas técnicas en el Consulado.
Una vez en Frankfurt, los hackers de la CIA pueden viajar sin más controles fronterizos a los países europeos 25 que forman parte de la zona fronteriza abierta de Shengen, incluidos Francia, Italia y Suiza.
Varios de los métodos de ataque electrónico de la CIA están diseñados para la proximidad física. Estos métodos de ataque pueden penetrar redes de alta seguridad que están desconectadas de Internet, como la base de datos de registros policiales. En estos casos, un oficial de la CIA, agente o oficial de inteligencia aliado actuando bajo instrucciones, se infiltra físicamente en el lugar de trabajo objetivo. El atacante cuenta con un USB que contiene malware desarrollado para la CIA con este fin, que se inserta en la computadora de destino. Luego, el atacante infecta y extrae los datos a medios extraíbles. Por ejemplo, el sistema de ataque de la CIA Fine Dining, proporciona aplicaciones de señuelo 24 para que las usen los espías de la CIA. Para los testigos, el espía parece estar ejecutando un programa que muestra videos (por ejemplo, VLC), presentando diapositivas (Prezi), jugando un juego de computadora (Breakout2, 2048) o incluso ejecutando un escáner de virus falso (Kaspersky, McAfee, Sophos). Pero mientras la aplicación señuelo está en la pantalla, el sistema subyacente se infecta y saquea automáticamente.
Cómo la CIA aumentó dramáticamente los riesgos de proliferación
En lo que seguramente es uno de los objetivos propios de inteligencia más asombrosos en la memoria viva, la CIA estructuró su régimen de clasificación de tal manera que para la parte más valiosa del mercado de "Vault 7": el malware armado de la CIA (implantes + cero días), las publicaciones de escucha ( LP) y los sistemas de Comando y Control (C2): la agencia tiene pocos recursos legales.
La CIA hizo estos sistemas sin clasificar.
Por qué la CIA decidió no clasificar su ciberarsenal revela cómo los conceptos desarrollados para uso militar no se trasladan fácilmente al "campo de batalla" de la "guerra" cibernética.
Para atacar a sus objetivos, la CIA generalmente requiere que sus implantes se comuniquen con sus programas de control a través de Internet. Si se clasificaran los implantes de la CIA, el software Command & Control y Listening Post, los agentes de la CIA podrían ser procesados o despedidos por violar las reglas que prohíben colocar información clasificada en Internet. En consecuencia, la CIA ha hecho en secreto la mayor parte de su código de guerra / espionaje cibernético sin clasificar. El gobierno de los Estados Unidos tampoco puede hacer valer los derechos de autor debido a las restricciones de la Constitución de los Estados Unidos. Esto significa que los fabricantes de "armas" cibernéticas y los piratas informáticos pueden "piratear" libremente estas "armas" si las obtienen. La CIA ha tenido que depender principalmente de la ofuscación para proteger sus secretos de malware.
Se pueden disparar armas convencionales como misiles contra el enemigo (es decir, en un área no segura). La proximidad o el impacto con el objetivo detona la munición, incluidas sus partes clasificadas. Por lo tanto, el personal militar no viola las reglas de clasificación al disparar municiones con partes clasificadas. Es probable que la artillería explote. Si no es así, esa no es la intención del operador.
Durante la última década, las operaciones de piratería de EE. UU. Se han disfrazado cada vez más con jerga militar para aprovechar las fuentes de financiación del Departamento de Defensa. Por ejemplo, los intentos de "inyecciones de malware" (jerga comercial) o "gotas de implantes" (jerga de la NSA) se denominan "incendios" como si se disparara un arma. Sin embargo, la analogía es cuestionable.
A diferencia de las balas, bombas o misiles, la mayor parte del malware de la CIA está diseñado para vivir durante días o incluso años después de haber alcanzado su "objetivo". El malware de la CIA no "explota con el impacto", sino que infesta permanentemente a su objetivo. Para infectar el dispositivo del objetivo, se deben colocar copias del malware en los dispositivos del objetivo, dando posesión física del malware al objetivo. Para extraer datos a la CIA o esperar instrucciones adicionales, el malware debe comunicarse con los sistemas CIA Command & Control (C2) ubicados en servidores conectados a Internet. Pero estos servidores generalmente no están aprobados para contener información clasificada, por lo que los sistemas de comando y control de la CIA también se clasifican.
Un 'ataque' exitoso al sistema informático de un objetivo se parece más a una serie de maniobras de stock complejas en una oferta de adquisición hostil o la plantación cuidadosa de rumores para obtener el control sobre el liderazgo de una organización en lugar de disparar un sistema de armas. Si se puede hacer una analogía militar, la infestación de un objetivo es quizás similar a la ejecución de toda una serie de maniobras militares contra el territorio del objetivo, incluida la observación, infiltración, ocupación y explotación.
Evasión forense y antivirus
Una serie de normas establece los patrones de infestación de malware de la CIA que probablemente ayudarán a los investigadores forenses de la escena del crimen, así como a Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens y las compañías antivirus y atribuyen y defienden contra los ataques.
El sistema de gestión del Grupo de Desarrollo de Ingeniería (EDG) de la CIA contiene alrededor de 500 proyectos diferentes (solo algunos de los cuales están documentados por “Year Zero”), cada uno con sus propios subproyectos, malware y herramientas de piratería.
La mayoría de estos proyectos se refieren a herramientas que se utilizan para penetración, infestación ("implantación"), control y exfiltración.
Otra rama de desarrollo se enfoca en el desarrollo y operación de los sistemas Listening Posts (LP) y Command and Control (C2) utilizados para comunicarse y controlar los implantes CIA; Se utilizan proyectos especiales para apuntar hardware específico desde enrutadores a televisores inteligentes.
Algunos proyectos de ejemplo se describen a continuación, pero vea la tabla de contenido para ver la lista completa de proyectos descritos por el “Año Cero” de WikiLeaks.
RESENTIMIENTO
Las técnicas de piratería hechas a mano de la CIA plantean un problema para la agencia. Cada técnica que ha creado forma una "huella digital" que los investigadores forenses pueden utilizar para atribuir múltiples ataques diferentes a la misma entidad.
Esto es análogo a encontrar la misma herida de cuchillo distintiva en múltiples víctimas de asesinato separadas. El estilo único de herir crea sospechas de que un solo asesino es responsable. Tan pronto como se resuelve un asesinato en el set, los otros asesinatos también encuentran una posible atribución.
Con UMBRAGE y proyectos relacionados, la CIA no solo puede aumentar su número total de tipos de ataques, sino también desviar la atribución dejando atrás las “huellas digitales” de los grupos a los que les robaron las técnicas de ataque.
Los componentes UMBRAGE cubren keyloggers, recopilación de contraseñas, captura de cámaras web, destrucción de datos, persistencia, escalada de privilegios, sigilo, evitación de antivirus (PSP) y técnicas de encuesta.
Fine Dining
Fine Dining viene con un cuestionario estandarizado, es decir, un menú que completan los oficiales de casos de la CIA. El cuestionario es utilizado por la OSB de la agencia (Rama de apoyo operacional) para transformar las solicitudes de los oficiales de casos en requisitos técnicos para ataques de piratería (normalmente "exfiltrar" información de los sistemas informáticos) para operaciones específicas. El cuestionario permite al OSB identificar cómo adaptar las herramientas existentes para la operación y comunicarlo al personal de configuración de malware de la CIA. El OSB funciona como interfaz entre el personal operativo de la CIA y el personal de soporte técnico relevante.
Entre la lista de posibles objetivos de la recopilación se encuentran 'Activo', 'Activo de enlace', 'Administrador del sistema', 'Operaciones de información extranjeras', 'Agencias de inteligencia extranjeras' y 'Entidades gubernamentales extranjeras'. Es notable la ausencia de cualquier referencia a extremistas o criminales transnacionales. También se le pide al 'Oficial de Casos' que especifique el entorno del objetivo, como el tipo de computadora, el sistema operativo utilizado, la conectividad a Internet y las utilidades antivirus (PSP) instaladas, así como una lista de tipos de archivos que se exfiltrarán como documentos de Office. , audio, video, imágenes o tipos de archivos personalizados. El 'menú' también solicita información si es posible el acceso recurrente al objetivo y cuánto tiempo se puede mantener el acceso no observado a la computadora. Esta información es utilizada por el software 'JQJIMPROVISE' de la CIA (ver más abajo) para configurar un conjunto de malware de la CIA adecuado a las necesidades específicas de una operación.
Improvisar (JQJIMPROVISE)
'Improvise' es un conjunto de herramientas para la configuración, posprocesamiento, configuración de carga útil y selección de vectores de ejecución para herramientas de levantamiento / exfiltración que admiten todos los sistemas operativos principales como Windows (Bartender), MacOS (JukeBox) y Linux (DanceFloor). Sus utilidades de configuración como Margarita permiten que el NOC (Network Operation Center) personalice las herramientas en función de los requisitos de los cuestionarios de 'Fine Dining'.
COLMENA
HIVE es una suite de malware CIA multiplataforma y su software de control asociado. El proyecto proporciona implantes personalizables para Windows, Solaris, MikroTik (utilizado en enrutadores de Internet) y plataformas Linux y una infraestructura de puesto de escucha (LP) / comando y control (C2) para comunicarse con estos implantes.
Los implantes están configurados para comunicarse a través de HTTPS con el servidor web de un dominio de cobertura; cada operación que utiliza estos implantes tiene un dominio de cobertura separado y la infraestructura puede manejar cualquier número de dominios de cobertura.
Cada dominio de cobertura se resuelve en una dirección IP que se encuentra en un proveedor comercial de VPS (servidor privado virtual). El servidor de cara al público reenvía todo el tráfico entrante a través de una VPN a un servidor 'Blot' que maneja las solicitudes de conexión reales de los clientes. Está configurado para la autenticación de cliente SSL opcional: si un cliente envía un certificado de cliente válido (solo los implantes pueden hacerlo), la conexión se reenvía al servidor de herramientas 'Honeycomb' que se comunica con el implante; si falta un certificado válido (que es el caso si alguien intenta abrir el sitio web del dominio de cobertura por accidente), el tráfico se reenvía a un servidor de cobertura que ofrece un sitio web de aspecto poco sospechoso.
El servidor de herramientas Honeycomb recibe información extraída del implante; un operador también puede asignar al implante la tarea de ejecutar trabajos en la computadora de destino, por lo que el servidor de herramientas actúa como un servidor C2 (comando y control) para el implante.
El proyecto RickBobby proporciona una funcionalidad similar (aunque limitada a Windows).
La aplicación Signal es producida por Open Whisper Systems, que está financiada por el Open Technology Fund (el mayor financista de Open Whisper Systems), que es un proyecto del gobierno de EE. UU. (Que también ha trabajado en TOR y TAILS, acceso encriptado y sistema operativo).
wpDiscuz