Wikileaks revela un kit usado por la CIA para inculpar a otros actores

Wikileaks acaba de publicar una tercera hornada de documentos, con el nombre de Marble, que muestran las capacidades de la CIA en operaciones anti-forenses gracias al Marble framework. Este entorno tendría el objetivo de atribuir las operaciones desempeñadas por esta organización a otros actores internacionales, inculpando a estos.

Tras el lanzamiento de las partes I y II de Vault7, un nuevo archivo ha sido publicado, dando buena cuenta de las capacidades técnicas de la agencia de inteligencia.

Si en la primera entrega se hablaba principalmente de herramientas y técnicas de hacking y en la segunda se incluía información específica que indicaba como se podía comprometer teléfonos, aparatos de audio basados en Android, iPhones o Smart TVs, ahora tenemos algo que complementa perfectamente lo anterior.

Y es así porque, como sabemos, cuando entras en un sistema lo suyo es que solo tú sepas que estuviste allí. Si hiciste algo malo y se sabe en los medios, como poco tu objetivo debería ser no aparecer como el sujeto al que miren en primer lugar.

Entorno anti-forense de la CIA

Se ha puesto a disposición de todos una valiosa información sobre esta herramienta de ocultación anti-forense usada por EEUU durante estos años, de nombre Marble y cuyas 676 líneas de código permanecían hasta ahora secretas.

El objetivo es muy simple: hacer tan difícil como sea posible la atribución del delito a los peritos forenses que estudien los medios afectados. Se ha estado usando para evadir la detección mediante varias técnicas. Por ejemplo, Marble detecta si su entorno está siendo virtualizado.

Esto les ha permitido inculpar a otros países como Rusia, Corea del Norte o Irán, como demuestran los propios documentos desclasificados, cuando los americanos han necesitado sembrar la duda.

Marble es utilizado para dificultar a los investigadores forenses y empresas de antivirus la atribución de virus, troyanos y otros ataques a la CIA.

Marble, tirar la piedra y esconder la mano

Este conjunto de herramientas incluye algoritmos para insertar -dentro del código fuente del malware- múltiples cadenas, en varias lenguas, que hagan difícil atribuirlo a alguien determinado. Normalmente, esto se hace ofuscando (escondiendo) fragmentos de texto que impliquen a la organización, poniendo en su lugar «parches» que se asocien a otros.

El código muestra que esta herramienta tiene ejemplos de testing, no solo en habla inglesa, sino también en chino, ruso, coreano, árabe, etc. […] Esto permitiría un doble juego a la hora de atribuir pruebas forenses, por ejemplo, pretendiendo que el lenguaje de ensamblado del creador no era inglés americano sino chino.

Incluso peor, porque una vez ahí, se podría simular un intento de encubrir el uso de lengua china, llevando a los investigadores forenses todavía más lejos en la falsa suposición del uso de este lenguaje.

Conclusiones

Este conjunto de herramientas del que hoy hablamos no aprovecha exploits ni infecta equipo alguno, pero hace algo igualmente importante y también interesante. Finalmente, la filtración incluye además un «de-ofuscador», gracias al cual los expertos podrán ir reconstruyendo pruebas sobre ataques recientes. Quizá haya alguna sorpresa 🙂