Site icon Sophos News

WikiLeaks filtra más herramientas robadas “Vault 7”

WikiLeaks filtra más herramientas robadas “Vault 7”

La semana pasada WikiLeaks “Vault 7” volvió a filtrar un poco más sobre las herramientas e información sustraída a la CIA.

La última remesa es un tesoro del proveedor Raytheon Blackbird Technologies sobre el “UMBRAGE Component Library” (UCL) Project, que incluye informes sobre cinco tipos de malware y sus vectores de ataque

Según WikiLeaks los informes se enviaron a la CIA entre el 21 de noviembre de 2014 (justo unas semanas después de que Raytheon comprara Blackbird Technologies para crear Cyber Powerhouse) y el 11 de septiembre de 2015. Mayormente contiene pruebas de concepto y evaluaciones sobre vectores de ataque de malware, en parte obtenidos de documentos públicos de otras fuentes.

Raytheon Blackbird Technologies funcionó como una especie de “scout tecnológico” para el Remote Development Branch (RDB) de la CIA analizando ataques de malware y ofreciendo recomendaciones a los equipo de desarrollo de esta agencia sobre sus propios proyectos.

Entre la información filtrada podemos encontrar:

Una nueva variante del HTTPBrowser Remote Access Tool (RAT) creado en 2015 y usado por “Emissary Panda”. Se trata de un keylogger, según Raytheon captura pulsaciones de teclas usando las APIs estándar RegisterRawInputDevice() y GetRawInput() y las graba en un fichero.

Una nueva variante de NfLog RAT, también conocido como lsSpace y utilizado por “Samurai Panda”. Se trata de una básica RAT que consulta un servidor C2 cada 6 segundos esperando una respuesta codificada. Si detecta que un usuario tiene privilegios de administrador, intentará recargarse usando esos nuevos permisos.

Regin, descrito como un ejemplo muy sofisticado de malware, que ha estado en funcionamiento desde 2013. Se utiliza para espionaje y recopilación de datos. Según Raytheon, dispone una arquitectura modular en seis fases que le otorga un alto grado de flexibilidad y de realizar ataques a medida. También es muy estable y con una alta capacidad para no ser detectado.

HammerToss, un supuesto malware patrocinado por el gobierno ruso, que está operacional desde 2014 y fue descubierto en 2015. Usa cuentas de Twitter, GitHub o webs comprometidas y almacenamiento en la red para realizar operaciones de mando y control para el malware. Se considera la más sofisticada de las cinco herramientas de esta tanda.

Gamker, un troyano que roba información empleando un interesante proceso de inyección de código a si mismo que se asegura que nada se escriba en un disco.

Como WikiLeaks apunta, estos cinco malware no eran secretos. Pero la esperanza de la CIA era que les ayudaría a desarrollar sus propias armas con las que podrían atacar, no solo ordenadores personales, si no también redes sociales como Twitter.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Exit mobile version