Symantec
publicó recientemente
los resultados de un estudio de la información publicada por WikiLeaks. Estamos hablando de
Vault 7 , un paquete de documentos que describe los principios del software utilizado por la CIA para descifrar computadoras y sistemas informáticos de individuos y organizaciones.
El espionaje de la CIA fue manejado por un grupo especial que Symantec denominó Longhorn. Sus participantes infectaron las redes informáticas de los organismos gubernamentales de diferentes estados, y también se infectaron los sistemas de telecomunicaciones y empresas de energía, así como las compañías aéreas. La caja de herramientas anunciada por los representantes de WikiLeaks se utilizó, según Symantec, de 2007 a 2011. Durante este tiempo, el grupo comprometió al menos 40 objetivos en 16 estados diferentes, incluidos Oriente Medio, Europa, Asia, África y Estados Unidos (en este caso, muy probablemente, por error).
El conjunto de herramientas del grupo Longhorn fue muy extenso. Symantec pudo encontrar una correspondencia entre la información proporcionada por WikiLeaks y los ataques llevados a cabo en el pasado utilizando varios métodos. Esto es una coincidencia de los protocolos criptográficos (por ejemplo, el protocolo RC5 personalizado), los cambios en el compilador utilizado y los métodos para atacar redes y sistemas informáticos. Al
final resultó que , Symantec mismo ha monitoreado de cerca, lo mejor que ha podido, las operaciones de Longhorn desde 2014. En cualquier caso, fue entonces cuando Symantec descubrió un nuevo malware extendido en los documentos de Word.
"Longhorn utilizó herramientas cibernéticas modernas y vulnerabilidades de día cero para alcanzar objetivos en todo el mundo", dijo la compañía en su blog. "El sistema de métodos, herramientas y métodos utilizados por Longhorn se destacó entre todos los demás, por lo que hay pocas dudas de que el grupo estuvo involucrado en todos estos ataques".
Uno de los indicadores que se monitorearon fue el
malware Fluxwire. Los cambios que ha sufrido el software corresponden al programa descrito por Symantec. Los especialistas de esta empresa, sin embargo, llamaron al malware detectado Corentry. Pero, hasta donde se puede juzgar, coincide exactamente con el software que aparece en los archivos de WikiLeaks como FluxWire. Por ejemplo, los cambios de FluxWare documentados por WikiLeaks son totalmente consistentes con los cambios de Symantec Corentry. Si es más simple, este es el mismo software con elementos específicos de "comportamiento", que describen Symantec y WikiLeals. El 25 de febrero de 2015, los expertos de Symantec notaron que los desarrolladores de este software ahora usan el compilador Microsoft Visual C ++. Los mismos datos están contenidos en el archivo de Vault 7.
Se pueden encontrar muchas más similitudes en el software, que en Vault7 aparece bajo el nombre de Arcángel. En los archivos de Symantec, se ejecuta como Plexor. Las especificaciones y los módulos de este software se describen casi de manera idéntica en los archivos de la CIA y Symantec. No hay duda, este es también el mismo programa. Vault7 tiene información sobre las características criptográficas de la actividad de la red de la CIA. Symantec también observa estas características.
"Antes de dirigir su malware al objetivo, Longhorn estaba preconfigurando el paquete de software, cuyos rastros podrían detectarse mediante palabras específicas, dominios C&C y direcciones IP con las que este software debería" comunicarse ". Longhorn usó palabras en mayúscula, a menudo "groupid" y "siteid", que se utilizaron para identificar campañas y víctimas. Se estudiaron más de 40 identificadores de este tipo, muy a menudo palabras de películas, incluidos personajes, comida o música. Un ejemplo es una referencia al grupo "La policía", con las palabras clave REDLIGHT y ROXANNE ", dice el informe de los expertos de Symantec.
WikiLeaks publicó la primera parte de la colección de documentos clasificados de la CIA el 8 de marzo. Esta colección, denominada Vault 7, da una buena idea de la escala del trabajo de ciberespionaje de esta organización. Con la ayuda de programas desarrollados por sus empleados, la CIA tuvo la oportunidad de penetrar en las redes de computadoras de casi cualquier organización. Después de la publicación de estos documentos, quedó claro que las capacidades de la CIA son superiores a las capacidades de la NSA.
Ahora WikiLeaks
no publica el código fuente de las herramientas, cuya información está contenida en la primera parte del archivo. Esto se hace por varias razones, incluido el peligro de que dicha información caiga en manos de los ciberdelincuentes.
Bueno, la reacción de la CIA es bastante natural. “Como dijimos anteriormente, Julian Assange no es en absoluto un bastión de verdad y honestidad. La sociedad estadounidense debería estar profundamente emocionada por la divulgación de documentos de Wikileaks, lo que limitará la capacidad de la CIA para proteger a Estados Unidos de terroristas y otros intrusos ", dijo el portavoz.