Wikileaks desvela el Manual Aeris, un implante para servidores Linux

Wikileaks lleva varios meses publicando información en lo que se conoce como la serie Vault 7, donde se presentan herramientas y metodologías anteriormente utilizadas por agencias de espionaje gubernamentales (sobre todo la NSA) para realizar seguimientos e instalar malware y backdoors en equipos de todo el mundo.

Ayer nos enteramos de la última novedad relacionada con Vault7: Aeris. Esta herramienta tiene entre sus objetivos los sistemas POSIX y algunas distribuciones de Linux populares. Se enmarcan el el proyecto Imperial de la CIA.

Aeris es un implante automatizado, construido en C y que soporta cierto número de sistemas basados en POSIX (Debian, RHEL, SOlaris, CentOS…). Soporta exfiltración automatizada de datos, intervalo de balizas y fluctuación configurables, soporte SMTP y HTTPS LP indendiente o basado en colisión -todo ello con cifrado de comunicaciones TLS y autenticación mutua.

Es compatible con el estándar criptográfico NOD y proporciona comando y control estructurado, similar al utilizado en otros implantes desarrollados para equipos Windows.

El implante Aeris para Linux

¿Qué es Aeris?

Es una suerte de implante diseñado para permitir a un agente recuperar información del equipo infectado y enviarla al exterior mediante canales TLS seguros. Para salir del sistema anfitrión puede utilizar diferentes canales seguros, como puede ser Postfix (email) y mediante el uso de cifrado AES256 hacerlo virtualmente impenetrable.

Sistemas afectados

• Debian Linux 7 (i386)
• Debian Linux 7 (amd64)
• Debian Linux 7 (ARM)
• Red Hat Enterprise Linux 6 (i386)
• Red Hat Enterprise Linux 6 (amd64)
• Solaris 11 (i386)
• Solaris 11 (SPARC)
• FreeBSD 8 (i386)
• FreeBSD 8 (amd64)
• CentOS 5.3 (i386)
• CentOS 5.7 (i386)

Funcionamiento y manual de Aeris

El conjunto distribuido consiste en varias utilidades Python y algunos archivos binarios (ejecutables), uno para cada sistema sobre el que se puede atacar. No tiene un instalador diferenciado. Para desplegarlo, solamente debemos poner el binario Aeris en el directorio deseado, para luego ponerle el nombre que nos apetezca.

La configuración se aplica durante su despliegue, por lo que no se necesitan archivos adicionales, salvo aquellos requeridos para añadir persistencia.

Con la filtración de esta información referente a Aeris, posiblemente muchos ciberdelincuentes intenten conseguir este implante o desarrollar uno con capacidades similares, con la ventaja que les proporciona la documentación existente sobre este módulo.

En dicho manual podemos encontrar comandos y funcionamiento desde lo más básico, como invocar Aeris…

/aeris &
./aeris -e &
./aeris -f &

También como lanzar el worker:

python task_builder.py receipt.xml

Y muchas otras configuraciones también sobre comportamiento del agente y cada módulo.

Conclusión

En contra de lo que mucha gente aún piensa, los sistemas basados en GNU/Linux no están al margen de las vulnerabilidades o ciberataques. Este caso viene a confirmarlo una vez más, así que no perdamos de vista que cualquier sistema debe ser auditado y protegido.

En Wikileaks podéis encontrar este (enlace anterior) y otros manuales para Seapea y Achilles, las otras dos herramientas pertenecientes a Imperial de la CIA.