Wikileaks, el conocido portal de filtraciones, ha hecho público hace unos días unos documentos que vinculan a la CIA con un nuevo caso de espionaje.


Jualian Assange, prófugo de la justicia por varios varios países, anticipó que este año se haría una de las mayores filtraciones de las actividades de la CIA. Y así fue, en marzo de este año se reveló Vault 7. Esta filtración consistió en una serie de documentos que mostraban como se estaba llevando a cabo la recolección de información en diferentes dispositivos.

Julian Assange Embajada

Julian Assange en la embajada de Ecuador (Rex Features vía AP)

Hace unos días, Wikileaks comenzó una nueva tanda de revelaciones: Vault 8.

Hive, la herramienta usada por la CIA para el control del malware

El protagonista principal de esta nueva filtración ha sido Hive. Esta herramienta proporcionaba un soporte a los demás mecanismos de vigilancia utilizados por la agencia. En otras palabras, se encargaba de llevar a cabo el envío de información sustraída sin que los afectados se enterasen.

Por muy sofisticado que fuera el malware que se estuviera implantando en los ordenadores objetivo, resulta inútil si no puede comunicarse con otros y enviar la información de manera que no fuese sospechosa.

Wikileaks CIA Hive sistem

Gráfico que muestra el funcionamiento de Hive

El procedimiento que utiliza la herramienta Hive es el siguiente.

  • Al efectuar una operación, se registra un dominio. El servidor web comercial es alquilado y se conecta utilizando VPS (Virtual Private Server). Además, el software del servidor se modifica de acuerdo a los requerimientos de la agencia americana.
  • Estos servidores actuan como la cara visible de la estructura back-end de la CIA; actuando como agentes de reenvío del tráfico HTTP sobre una conexión VPN hasta un servidor oculto de la CIA, llamado ‘Blot’.
  • El dominio registrado presenta un contenido inofensivo, que no levantaría sospechas si un usuario accede a él por casualidad. La cuestión es que este utiliza una opción de autenticación poco común en el protocolo HTTPSOpcional Client Authentication.
  • De este modo, lo usuarios no se tienen que autentificar de manera obligatoria. En este caso será el software malicioso o malware el que se autenticará en el sistema.
  • Cuando el tráfico de un agente malicioso es detectado, este se redirecciona a un servidor de la CIA. En el caso de que sea detectado un tráfico normal, se presenta el contenido inofensivo.

Como podemos ver, la CIA podía utilizar decenas de servidores web para distribuir su tráfico, y era difícil levantar sospechas.

Wikileaks revela que la agencia utilizaba empresas externas para falsificar certificados

Toda esta red de suplantaciones también incluía en muchas ocasiones certificados falsificados por la agencia americana. Muchos de los certificados usados para implantar el malware en los dispositivos estaban firmados por la empresa rusa Karpesky Lab. Emitidos a su vez por otra sociedad anónima: Thawte Premium Server CA, Cape Town. De esta forma era imposible atribuir un robo de información a la agencia americana, aunque se investigara el tráfico de la red.

Wikileaks ha puesto de manera pública el código fuente de la herramienta Hive:

Enlace al repositorio de Hive

Via: Wikileaks

¡Comparte si te ha gustado!

Si no quieres perderte ninguna novedad, únete a nuestro canal de Telegram: https://t.me/feelingthenet