Como parte de las filtraciones de Vault 7, WikiLeaks  ha revelado que la CIA está analizando malware avanzado y técnicas de hacking que usan los ciberdelincuentes para recopilar ideas para el desarrollo de nuevas herramientas de malware.

De acuerdo con los documentos filtrados por WikiLeaks, Raytheon Blackbird Technologies, contratista de la Agencia Central de Inteligencia (CIA), entregó casi cinco informes a la CIA como parte del proyecto UMBRAGE Component Library (UCL) entre noviembre de 2014 y septiembre de 2015. Estos informes contienen un breve análisis sobre las ideas de prueba de concepto y los vectores de ataque de malware, presentados públicamente por investigadores de seguridad y desarrollados en secreto por grupos de hackers de ciberespionaje.

Los informes presentados por Raytheon supuestamente estaban ayudando a la Subdivisión de Desarrollo Remoto (RDB) de la CIA a recopilar ideas para desarrollar sus propios proyectos avanzados de malware. También se reveló en anteriores filtraciones que los equipos de desarrollo de malware UMBRAGE de la CIA también toman prestados códigos de muestras de malware públicamente disponibles para construir sus propias herramientas de spyware.

Aquí os dejamos una breve explicación de la información que contiene cada informe:

Informe 1

Los analistas de Raytheon detallaron una variante de la Herramienta de Acceso Remoto HTTPBrowser (RAT), que probablemente fue desarrollada en 2015. La RAT, que está diseñada para capturar pulsaciones de teclas de los sistemas de destino, estaba siendo utilizado por un grupo chino de APT de espionaje cibernético llamado “Emissary Panda”.

Informe 2 – Este documento detalla una variante de la Herramienta de Acceso Remoto NfLog (RAT), también conocida como IsSpace, que estaba siendo utilizado por Samurai Panda, identificado como otro grupo de hackers chinos. Equipado con la exploración CLE-2015-5122 de Adobe Flash (filtrado en Hacking Team dump) y la técnica de bypass UAC, este malware también fue capaz de detectar o enumerar las credenciales de proxy para evitar Firewall de Windows.

Informe 3 – Contiene numerosos detalles sobre el funcionamiento de “Regin” – una muestra de malware muy sofisticada que ha sido detectada en operación desde 2013 y diseñada principalmente para la vigilancia y recopilación de datos. Regin es una herramienta de espionaje cibernético, que se dice que es más sofisticada que Stuxnet y Duqu y que se cree que ha sido desarrollado por la agencia de inteligencia estadounidense NSA. El malware utiliza un enfoque modular que permite a un operador habilitar un espionaje personalizado. El diseño de Regin hace que el malware sea muy adecuado para operaciones de vigilancia de masas persistentes a largo plazo.

Informe 4 – Detalla una sospechosa muestra de malware patrocinada por Rusia llamada “HammerToss”, que fue descubierta a principios de 2015 y se sospecha que está operando desde finales de 2014. Lo que hace que HammerToss sea interesante es su arquitectura, que aprovecha las cuentas de Twitter, las cuentas de GitHub, sitios web comprometidos y almacenamiento en la nube para orquestar las funciones de comando y control en los sistemas de destino.

Informe 5 – Este documento detalla los métodos de inyección de código automático y gancho API de información robando Trojan llamado “Gamker”. Gamker utiliza un descifrado sencillo, luego descarga una copia de sí mismo usando un nombre de archivo aleatorio y se inyecta en un proceso diferente. El troyano también exhibe otros comportamientos típicos de troyanos.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia

Deja un comentario