Si recordáis, hace unas semanas publicábamos la existencia de Vault 7, el portal en el que WikiLeaks ha filtrado casi 9.000 documentos clasificados sobre espionaje electrónico de la CIA. A finales del pasado mes filtraron el código fuente de Marble, el framework que usaban para ocultar sus hackeos.
Hoy de nuevo conocemos una revelación sorprendente gracias a ZDNet: investigadores de seguridad han confirmado que las herramientas de hacking filtradas por WikiLeaks se han usado en ataques contra al menos 16 países. Al parecer, Symantec ha sido la responsable de encontrar la conexión.
Por lo visto, las herramientas se han usado en una sofisticada operación de ciberespionaje llamada "Longhorn". ¿Y cómo lo han hecho? Según el medio, han encontrado que los fabricantes de las herramientas y el grupo que las habría estado usando comparten protocolos criptográficos que se especifican en los documentos de Vault 7.
Ahora bien, conviene aclarar que las herramientas no han aparecido como resultado de las filtraciones, sino que se ha usado como parte de una operación a largo plazo. Desde Symantec dicen que "no se puede especular" con respecto a la identidad real del grupo, que curiosamente no despliega campañas contra objetivos estadounidenses.
En activo desde 2011
Según la información revelada, la operación lleva al menos seis años en activo. Durante este tiempo han usado una amplia variedad de troyanos y bugs zero day para infiltrarse en gobiernos y organizaciones internacionales, así como objetivos en los sectores financiero, de telecomunicaciones, energía, aeroespacioal, tecnologías de la información, educación y recursos naturales.
Sus objetivos se extienden por Oriente Medio, Europa, Asia y África. Los investigadores detallan cómo el grupo infectó un ordenador en Estados Unidos, pero también dicen que dicha máquina se debió "infectar accidentalmente", ya que se liberó un desinstalador para el malware en dicha máquina horas después.
También se han vinculado cierto número de variantes de malware y vulnerabilidades reveladas por WikiLeaks a Longhorn. Por ejemplo, uno de los documentos detalla un registro de cambios de fechas para un malware llamado Fluxwire, detallando cuándo se incorporaron nuevas característcias.
Estas fechas de Fluxwire se corresponden con los despliegues del troyano Corentry, que había sido vigilado por Symantec. Algunas de sus nuevas características aparecían en las mismas fechas listadas en los documentos de Vault 7, llevando a los investigadores a concluir que Fluxwire es Corentry.
Esta no es, sin embargo, la única conexión entre Longhorn y Vault 7. Al parecer también se ha hablado de la existencia de una herramienta de inyección llamada Archangel, que se parece mucho a Plexor, un troyano usado en la operación Longhorn. Y esto es sólo una parte.
Para terminar de rizar el rizo, el análisis de la actividad del grupo responsable de Longhorn indica que provienen de un país norteamericano de habla inglesa. Además, usan palabras clave encontradas en el malware, que hacen referencia al grupo The Police (ROXANNE, REDLIGHT) y a otros términos de la cultura pop (SCOOBYSNACK).
Vía | ZDNet
Más información | Symantec
En Xataka | La mayor filtración de Wikileaks sobre la CIA: casi 9.000 documentos sobre espionaje con smart TVs, smartphones y otros
Ver 1 comentarios