En marzo, Wikileaks anunció su mayor filtración sobre la CIA, Vault 7, con miles de documentos con información sobre supuestas herramientas para recopilar datos de toda clase de dispositivos. Gracias a ellos supimos, entre otras cosas, que la agencia estadounidense intervino routers wifi domésticos.
Y hoy salen a la luz nuevas revelaciones: la primera parte de Vault 8. Una primera entrega de filtraciones con una protagonista clara, Hive, la herramienta de malware de la CIA conocida en abril cuyo código fuente y registro de desarrollo publica al completo la organización fundada por Julian Assange.
Cuando la CIA se hacía pasar por Kaspersky
Hive es, en pocas palabras, una plataforma de comunicaciones encubiertas para los programas maliciosos de la CIA. Proporciona discreción en el envío de la información extraída a los servidores de la agencia y, a su vez, en la recepción de sus órdenes para un control remoto del malware. Una forma de comunicación que no llama la atención y pasa desapercibida, crucial en cualquier tipo de espionaje, incluso haciéndose pasar por otros si es necesario.
La necesidad de no ser detectados por las víctimas, ni siquiera por los administradores de las posibles redes afectadas, llevó al diseño de varias estrategias.
En primer término, la Agencia Central de Inteligencia empleaba como tapadera de las comunicaciones de esta infraestructura dominios registrados de forma anónima, con sus respectivos servidores y una web inofensiva accesible públicamente. Si alguien buscaba esas direcciones por casualidad, "un visitante no sospechará que se trata de otra cosa que un sitio web normal".
La única peculiaridad solamente podía ser advertida por los usuarios más avanzados: la autenticación de certificado era opcional en el servidor. Los visitantes no se autentican, pero las comunicaciones de la CIA sí. Justo entonces entran en juego los certificados digitales falsos y es cuando la agencia del Gobierno de EE. UU. se hace pasar por Kaspersky.
New WikiLeaks publication reveals CIA wrote code to impersonate Kaspersky Labs anti-virus company https://t.co/EvE8GdyAmM pic.twitter.com/geigDgIDsk
— WikiLeaks (@wikileaks) 9 de noviembre de 2017
Los tres ejemplos incluidos en el código fuente crean un certificado falso para la compañía antivirus Kaspersky Laboratory, de Moscú, pretendiendo estar firmado por Thawte Premium Server CA, de Ciudad del Cabo. De esta forma, si la organización objetivo observa el tráfico que sale de su red, es probable que atribuya erróneamente la exfiltración de datos de la CIA a entidades no involucradas cuyas identidades se han suplantado.
Precisamente esta compañía de seguridad rusa ha sido señalada en varias ocasiones por el Gobierno de los Estados Unidos por, supuestamente, estar vinculada al Kremlin y robarles información. Por estas acusaciones sus productos fueron vetados en los equipos de las agencias federales del país y, más tarde, eliminados de todos los ordenadores gubernamentales.
Para lavar su imagen, Kaspersky Lab decidió compartir recientemente su código fuente y ser transparente con una investigación muy particular: la detección de herramientas de malware de la NSA en el ordenador de uno de sus trabajadores. Según los rusos, la rocambolesca historia terminó con la eliminación de los archivos de la NSA de sus servidores, negando cualquier clase de conspiración orquestada con las autoridades rusas.
Imagen | Marcos Theodoro En Xataka | Siete razones para desconfiar de tus dispositivos: estos son los secretos de espionaje de la CIA
Ver 9 comentarios