Sigue a Genbeta

NSA Malware

Volvemos con una nueva entrega de filtraciones de Edward Snowden. Glenn Greenwald, el periodista con el que colabora éste, acaba de publicar en Firstlook un completísimo artículo detallando varios de los programas que utiliza la NSA para vigilar e interceptar información que viaja por Internet, incluyendo software malicioso que se instala de diversas formas en los equipos de los objetivos.

En concreto, y según los documentos filtrados, la NSA tiene en marcha una iniciativa conocida como “Owning the net“ (“dominando la red”) a la que destinan más de 67 millones de dólares cada año. Dentro de ella se encuentra el programa de espionaje TURBINE, desarrollado por el equipo de hackers de élite de la NSA y en el que se propone la implantación de malware a gran escala y de manera automatizada.

No solo eso, sino que dentro de las diapositivas que ha desvelado Snowden se listan otros nombres en clave de programas y herramientas maliciosas que la agencia utiliza, en teoría, para espiar a sus objetivos:

  • UNITEDRAKE: malware que se utiliza junto a otros plugins para obtener el control total de una máquina infectada.
  • CAPTIVATEDAUDIENCIE: malware que permite a la NSA acceder al micrófono de un ordenador y grabar las conversaciones.
  • GUMFISH: malware que activa la webcam de un ordenador y toma fotografías.
  • FOGGYBOTTOM: malware que almacena el historial de navegación, los detalles de login y las cuentas de correo.
  • GROK: keylogger, es decir, almacena las pulsaciones de teclado.
  • SALVAGERABBIT: malware que extrae los datos de las unidades de almacenamiento conectadas a un ordenador infectado.

Entre los objetivos de vigilancia de la NSA con todos estos métodos se encuentran, además de sospechosos de terrorismo, algunos administradores de red. Según un post en un foro interno de la agencia, “los administradores de sistemas son medios para conseguir un fin”. Consiguiendo comprometer el equipo de un administrador se facilita el acceso a otros objetivos de interés.

¿Cómo infectan a los objetivos?

Sencillo: aprovechando vulnerabilidades en los navegadores más conocidos (citan a Mozilla Firefox e Internet Explorer), fallos de seguridad en plugins como Flash y Java y, como ahora veremos también utilizan vulnerabilidades en routers y hardware de red. “Si podemos hacer que el objetivo nos visite en alguna especie de navegador web, probablemente podamos hacernos con ellos”, presumían en una de las diapositivas.

VPN y routers no se salvan

Hasta ahora hemos hablado de ataques de malware a los equipos de “sospechosos”, pero en la nueva filtración también se incluyen otros ataques interesantes. ¿Qué ocurre si alguien a quien quieren espiar utiliza una VPN (Virtual Private Network), cuyo tráfico en teoría es imposible de monitorizar? También tienen una solución para eso: atacar los routers de la red donde se encuentre el equipo.

VPN

De esta forma, pueden acceder a la información cifrada. Los programas que utilizan para ello tienen como nombre en clave HAMMERCHANT y HAMMERSTEIN, y también pueden interceptar otro tipo de datos como las llamadas VoIP. De ellas pueden extraer el nombre del usuario que realiza la llamada e incluso el audio de la conversación si no se envía cifrado.

Para uno de los analistas de la NSA, que aparece citado en una de las diapositivas, “hackear routers ha sido un buen negocio para nosotros y nuestros cinco aliados durante un tiempo, pero cada vez está más claro que otras naciones están poniendo en marcha sus habilidades y se están uniendo al escenario”.

Haciéndose pasar por Facebook

QUANTUMHAND y SECONDDATE son los programas que la NSA utiliza para hacerse pasar por el servidor de Facebook, utilizando un clásico ataque de “man-in-the-middle”. De esta forma, la agencia puede hacerse fácilmente con las credenciales del usuario y con la comunicación (incluidos mensajes) que éste hace con la red social. El proceso, que lleva activo desde 2010, lo explican en una animación que os dejamos a continuación.

Sensores que monitorizan tráfico

En la última parte del extenso artículo de The Intercept se habla de cómo en varios puntos dispersos por todo el mundo han instalado distintos sensores (nombre en clave TURMOIL) que se encargan de analizar el tráfico de toda la red. Cuando detectan algún paquete que procede de los propios equipos que han infectado, estos sensores automáticamente lo reenvían a la NSA para que lo analicen.

Además, es posible programar a los sensores para que detecten y localicen cierta información que viaja por internet en función de ciertos “selectores” o parámetros a buscar. Entre estos parámetros se incluyen IPs, cookies, IMEIs, direcciones de correo y un largo etcétera, como se ve en la siguiente diapositiva:

Selectores

¿Qué significa esto? Que la NSA puede programar sus sensores para que si detecta cualquier información que incluya cierta cookie, avise automáticamente a la agencia. Y así con cualquiera de los otros parámetros disponibles.

Los tentáculos de la NSA son alargados

Si sentís curiosidad por toda esta información, os recomiendo que leáis el artículo completo de The Information, ya que ofrecen más detalles y no tiene desperdicio. Al final, todo se puede resumir en que la NSA tiene un ejército de malware a su disposición para su uso a gran escala, presume de ello y no parece tener demasiados reparos en utilizarlos.

Vía | The Information
En Genbeta | Todo sobre las filtraciones de la NSA

Los comentarios se han cerrado

Ordenar por:

24 comentarios