The Shadow Brokers, un importante grupo de hackers que filtró varias herramientas de hacking de la NSA, ha vuelto nuevamente a los titulares para lanzar otra filtración realizada hacia la NSA. Eso sí, parece ser que sólo estará disponible para sus suscriptores del “servicio de descarga mensual”. Esto es una novedad que introdujeron hace unos meses.

Filtraciones de la NSA

A principios de junio, el grupo de hackers anunció la puesta en marcha de un servicio de suscripción. Lo denominaron Monthly Dump. Aquí anunciaron que filtrarían un nuevo lote de herramientas de hacking de la NSA. Todo ello a cambio de un pago de 100 Zcash, una criptomoneda prácticamente imposible de rastrear. Esta moneda digital al cambio actual son unos 20.500 euros. En el mes de julio tuvo lugar la segunda entrega a un precio de 200 Zcash, y en agosto la tercera por 500 Zcash.

Con el nombre de UNITEDRAKE, en referencia a la nueva filtración de la NSA, es un “sistema de recopilación remota completamente extensible” que viene con una serie de “plug-ins”, permitiendo a los atacantes tomar remotamente el control total sobre los ordenadores que trabajan bajo Windows.

The Shadow Brokers han anunciado una serie de cambios en su servicio mensual. Una actualización en la que informa de algunos cambios en las condiciones del servicio Monthly Dump. En el post señalan, entre otras cuestiones, que los suscriptores recibirán cada mes dos descargas. Además además han incluido un calendario con cada una de las entregas, que a partir del 15 de septiembre llegarán cada quince días y terminarán el 15 de noviembre. El montante total para tener acceso a las ocho entregas es de 16.000 Zcash, que al cambio actual son casi 3.300.000 euros.

En particular, la filtración de septiembre también incluye un archivo PDF sin cifrar. Es un manual del usuario para el exploit UNITEDRAKE (United Rake) desarrollado por la NSA.

UNITEDRAKE

Según el manual del usuario, UNITEDRAKE es un malware modular personalizable. Tiene la capacidad de capturar la salida de webcam y micrófono, pulsaciones de teclas de registro, acceso a las unidades y más con el claro fin de espiar a sus objetivos.

La herramienta consta de cinco componentes: el servidor, la interfaz de gestión del sistema, la base de datos (para almacenar y gestionar la información robada), los módulos de plug-in (permiten extender las capacidades del sistema) y cliente.

UNITEDRAKE salió a la luz inicialmente en 2014. Era parte de los documentos clasificados de la NSA filtrados por su ex trabajador Edward Snowden.

Documentos de Snowden

Los documentos de Snowden sugerían entonces que la agencia utilizó la herramienta junto con otras piezas de malware. Algunas como CAPTIVATEDAUDIENCE, GUMFISH, FOGGYBOTTOM, GROK y SALVAGERABBIT, para infectar millones de ordenadores en todo el mundo.

• CAPTIVATEDAUDIENCE es para grabar conversaciones a través del micrófono del ordenador infectado.
• GUMFISH es para tomar de forma oculta el control sobre la webcam de un ordenador y tomar fotografías.
• FOGGYBOTTOM sirve para robar datos de Internet como el historial de navegación, detalles de inicio de sesión y contraseñas.
• GROK es un troyano keylogger para registrar las pulsaciones de teclas.
• SALVAGERABBIT es para acceder a datos en unidades flash extraíbles que se conectan al ordenador infectado.