Wikileaks lanza los CIA Files bajo el nombre de Vault7

La pasada mañana ha lanzado la plataforma Wikileaks una nueva filtración, de esas que nos hacen llevarnos las manos a la cabeza por su gravedad. Se trata de los archivos de la CIA, una enorme cantidad de documentos clasificados que detallan las actividades y capacidades del gobierno federal para llevar a cabo espionaje en casi cualquier equipo informático y electrónico del mundo. Veamos en qué consisten los documentos bajo el nombre de Vault7.

Ante el comienzo de las especulaciones sin base que han comenzado a circular -por ejemplo, aquellas que señalan que el cifrado de apps como Telegram ha sido derribado- los analistas destacan que esto no es real. Es cierto que algunos tweets podrían haber dejado entrever algo similar, pero en cualquier caso son especulaciones sobre si la CIA habría conseguido atacar con éxito la popular aplicación de correo cifrado ProtonMail.

El cifrado no ha muerto, ¡larga vida al cifrado!

Lo que sí sabemos es que, durante los últimos 3 años, la CIA ha realizado un esfuerzo enorme para desarrollar ciber-armas diseñadas específicamente para rastrear y espiar a usuarios finales, como usuarios de móviles o portátiles. Esto posibilitaría el rastreo de pulsaciones de teclas y otras formas de conseguir información sobre nosotros, sin necesidad de «pelearse» con los sistemas de cifrado existentes.

Es decir, lo que estaría haciendo la NSA, CIA o el US Cybercommand, presuntamente, es obtener acceso a los datos antes de que estos pasen por el mecanismo de cifrado. Y esta es la única posibilidad real que tienen, pues es practicamente imposible -al menos a día de hoy- crackear los mecanismos de cifrado de consumo existentes.

Podemos concluir entonces que el sistema de cifrado utilizado por ProtonMail y servicios como Telegram sigue siendo seguro.

Para las agencias gubernamentales de ciertos países, la receta es (y sigue siendo desde hace ya tiempo) la de comprometer nuestro dispositivo, para después robar la información antes de su envío, algo frente a lo que el cifrado no puede ayudarnos.

Si podemos extraer una conclusión útil del volcado de datos ofrecido por Wikileaks hoy, no es otro que un importante cambio en la estrategia, por parte de los estados, respecto a lo que conocíamos desde las revelaciones de Snowden en 2013. De hecho, el cambio en la forma de llevar a cabo ciber-espionaje parece ser global, siendo extensibles con gran seguridad a otros actores internacionales como Israel, Rusia, China…que habrían extraído conclusiones similares a las de la NSA.

De entre los datos desclasificados por Snowden, destacaba el cómo las agencias americanas fueron capaces de robar información a las grandes tecnológicas mundiales, ya sea con su consentimiento o sin él. Compañías como Facebook o Google querían rentabilizar los datos de usuarios registrados, a veces no de la forma más segura o ética posibles.

Pero lo cierto es que las cosas han cambiado bastante desde 2013. Ahora está empezando a calar la idea de la privacidad y nuestros derechos en la red, cada vez con más usuarios de servicios que defienden la privacidad, anonimización o cifrado personal. Muestra de este avance está en las palabras de ProtonMail:

Incluso si nosotros quisiéramos comprometer los datos de nuestros usuarios, no seríamos capaces porque no tenemos los medios técnicos para descifrarlos.

Esto quiere decir que los datos no estarían disponibles tampoco para un posible hacker que consiga hacerse con ellos, o al menos que no podría extraer nada útil de los mismos al estar cifrados.

Un giro brusco en la estrategia de ciberataques

El nuevo Vault7 lanzado por Wikileaks confirma que el mundo ha cambiado, y los ciber-criminales estatales también lo han hecho. Las filtraciones muestran un patrón que dejan ver la obsesión por infectar con malware los dispositivos de usuario final, una respuesta lógica a los fuertes sistema de cifrado actuales. Por otro lado, como los proveedores de cifrado P2P más importantes han cruzado el charco para escapar de los requerimientos legales en EEUU, este modelo se ha convertido en el único interesante que les queda.

En resumen, esto abre la veda del malware servido por estados y agencias gubernamentales, aunque también nos dejan buen sabor de boca, pues el paso de un «espionaje masivo» a un «espionaje selectivo mediante infección» significa que se están haciendo las cosas bien desde el lado de los derechos.

Organización interna del CCI

También merece la pena destacar que la CIA ha destinado fondos y medios para crear múltiples grupos de acción, cada uno destinado a estudiar y comprometer un tipo de sistema concreto, todos enmarcados dentro de su CCI o Center for Cyber Intelligence (imagen inferior). Más de 500 proyectos son atendidos por esta estructura jerárquica.

• Automated Implants Branch (AIB): infección de dispositivos y difusión del código
• Mobile Development Branch (MDB): hacking de móviles y dispositivos móviles
• Embedded Devices Branch (EDB): ciber-ataques a coches, sistemas industriales (SCADA o similares) y otros sistemas embebidos.
• Network Devices Branch (NDB): hacking contra routers y pasivos de red

Datos sobre Vault7 de Wikileaks

Con un volumen de 7818 páginas web y archivos 943 adjuntos, el archivo completo de materiales de la CIA consiste en más de 100 millones de líneas de código.

Estos archivos corresponden al período post-Snowden -desde 2013 a 2016- y detallan el gran arsenal de técnicas de hacking utilizadas por las agencias de EEUU para espiar a ciudadanos locales y gobiernos extranjeros.

Vault 7 es la primera parte de una serie de documentos que compondrán el denominado como Año Cero.

Examinando estos documentos se puede observar que atañe a la CIA y las ciber-armas que utiliza para atacar a gobiernos extranjeros y también individuos de interés particular. A medida que conozca más detalles, los iré publicando en futuros artículos.

Algunas ciber-armas usadas por la CIA

Weeping Angel

Un programa que transforma los micrófonos de las Smart TVs en herramientas de espionaje. Manipulando su hardware, los hackers de la CIA son capaces de dirigir nuestros elementos domésticos contra nosotros, escuchando nuestras conversacionses.

Esta herramienta guarda bastante similitud con otra, desarrollada por el GCHQ, de nombre Nosey Smurf y de la que hablé en su día. El cometido de aquella era el mismo, utilizando en este caso los micrófonos de los teléfonos contra el ciudadano. Mientras, otra denominada Tracker Smurf consigue geolocalización precisa de nuestro aparato mediante triangulación de torres de telefónía.

Zero Day

Hablamos aquí de un tipo de vulnerabilidad genérico, empleado por la CIA contra dispositivos «enemigos». Wikileaks informa de que Zero Day ha sido utilizado principalmente contra empresas extranjeras (espionaje industrial). ¿Sorprende? No, pues ya Snowden avisaba de que este tipo de acciones se estaban tomando contra empresas en Brasil, Rusia y Europa, tanto dirigidas hacia bancos, como empresas petroleras, aerolíneas, etc.

Según Vault7, este programa ha visto nacer a miles de sistemas de hackeo, virus, troyanos y otras ciber-armas en los últimos 3 años.

Hive

Hablamos de una suite de hackeo con varios propósitos, utilizada por la CIA normalmente contra otros estados. Esta proyecto proporciona implantes personalizables para Windows, Solaris, MicroTik (routers) y equipos Linux. Todo se engloba en una infraestructura de tipo Listening Post (LP) o Command and Control (C2) para hablar con los implantes.

Lo primero que viene a la mente es la similitud con el caso Stuxnet de 2010, presuntamente ejecutado por las agencias americana e israelí, aunque nadie reconoció la autoría.

Ataques a dispositivios móviles

Por último y no menos importante, Vault7 ha revelado las avanzadas capacidades de la CIA para hackear teléfonos móviles. De forma sistemática, se ha intentado usar herramientas de tipo RAT (acceso remoto) para controlar los smartphones y desviar la información interesante de estos a servidores remotos.

De esto se ha encargado el área de producción Mobile de la CIA, que ha exfiltrado datos tanto de iPhones como Androides, en sus diferentes variantes y marcas. Nos hablan de nada menos que 24 Zero Days (vulnerabilidades sin parchear) usadas durante 2016 para acceder de forma no autorizada a terminales móviles, solo en Android.

Palabras finales

Esta información no ha hecho más que llegar, pero ya podemos sacar dos conclusiones importantes. Por un lado, la CIA podría usar estas técnicas para atacar un país y dejar rastros que impliquen a otro. Por otro, las puertas traseras que ellos dejan abiertas en routers o equipos, pueden ser utilizadas por otros. Lo bueno, es que estas armas ya no están solo en sus manos y son de dominio público 😉

Tenemos ante nosotros hechos muy graves, ahora falta por conocer si las actividades de espionaje llevadas a cabo por la CIA en el consulado de Frankfurt eran sabidas por el gobierno alemán. ¿Qué opináis vosotros?

Descarga Vault7

En el siguiente enlace está disponible el torrent que Wikileaks ha hecho público y donde se puede revisar toda la información de la inmensa base de datos. La palabra clave necesaria es:

SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds