Vault 8, WikiLeaks revela Project HIVE y muestra cómo la CIA controla su malware
Casi dos meses después de publicar los detalles de 23 proyectos diferentes de herramientas secretas de la CIA pertenecientes a la serie 7 de Vault, Wikileaks acaba de anunciar hace tan solo unas horas una nueva serie de Vault 8, lo que ha hecho despertar todas las alarmas.
En concreto esta nueva publicación se centra en revelar códigos fuente e información acerca de la infraestructura desarrollada por los propios hackers que trabajaban para la CIA. Decir que no solo se trata de un simple anuncio, sino que además la organización ya ha publicado su primer lote de filtraciones correspondientes a Vault 8, por lo que de este modo se ha liberado el código fuente y los registros de desarrollo del denominado como “Project HIVE”, un importante componente que la agencia usaba para controlar a distancia su malware, como no, de forma encubierta.
Para los que no lo sepáis, en abril de este mismo año 2017, WikiLeaks reveló una breve información sobre Project HIVE, afirmando que el proyecto se trata en realidad de un servidor avanzado de control de malware que se comunica con estos códigos maliciosos, todo con el fin de enviar órdenes al mismo para ejecutar tareas específicas en los objetivos, de este modo se recibe la información filtrada de las máquinas de destino. Por tanto, el proyecto es un sistema multiusuario que puede ser utilizado por múltiples operadores de la CIA, todo para controlar remotamente diversos implantes de malware utilizados en diferentes operaciones.
Vault 8 es filtrado por WikiLeaks
Esta es una infraestructura que ha sido especialmente diseñada para prevenir ser detectados por las «víctimas», por lo que incluye un sitio web falso de cara al público después de la comunicación en varias etapas a través de una Red Privada Virtual o VPN. De esta manera lo que se logra es que incluso si HIVE es detectado en el ordenador de destino donde ha sido implantado, atribuirlo a la CIA es bastante complicado al intentar comprobar la comunicación del malware en cuestión con otros servidores en Internet, afirma WikiLeaks.
Así, los implantes de malware se comunican directamente con el comentado sitio web falso, corriendo sobre un Servidor Virtual Privado comercial, por lo que parece algo totalmente inocente cuando se abre en el navegador web. Sin embargo, en segundo plano, tras la autenticación, el implante de malware puede comunicarse con este servidor web, enviando el tráfico relacionado con el código malicioso a un servidor oculto de la CIA llamado “Blot” a través de una conexión segura VPN. De este modo el servidor Blot redirecciona el tráfico a una pasarela de gestión de implantes llamada “Honeycomb”.
A modo de curiosidad diremos que, para evitar la detección por parte de los administradores de red, los implantes de malware utilizan certificados digitales falsos para Kaspersky Lab. De este modo Wikileaks ahora ha publicado el código fuente del proyecto, por lo que de este modo ya está disponible para que cualquier persona, incluidos periodistas de investigación, puedan descargarlo y explorar sus funcionalidades.
Para terminar diremos que el código fuente publicado en la serie Vault 8 solo contiene software diseñado para funcionar en servidores controlados por la CIA, mientras que la propia WikiLeaks asegura que no liberará vulnerabilidades de seguridad de día cero que podrían ser usadas por otros.