Vault 8 de WikiLeaks pone a disposición el código fuente de Project Hive
WikiLeaks ha anunciado la publicación de Vault 8, la última entrega de su serie de filtraciones en la cual revela información sobre las infraestructuras informáticas de la CIA, además de malware desarrollado por los hackers de la misma agencia.
Aparte de información sobre actividades de la CIA que podrían considerarse como poco éticas en según qué casos, WikiLeaks también ha publicado el código fuente y los registros de desarrollo de Project Hive, un importante componente de backend que la agencia ha utilizado para controlar su propio malware de forma encubierta.
No es la primera vez que WikiLeaks menciona a Project Hive, ya que el pasado mes de abril suministró información sobre él, tratándose de un servidor de mando y control avanzado que se comunica con el malware y envía órdenes que ejecutan tareas específicas y extraen información sobre los objetivos marcados. Mencionando otras características, Hive es un sistema multiusuario “todo en uno” que puede ser usado por múltiples operadores de la CIA, los cuales pueden controlar la implementación de los distintos malware que utilizan en sus operaciones.
Para actuar de forma encubierta y evitar su atribución a la CIA, se creó un falso origen para Hive basado en un sitio web que seguía una comunicación en varias etapas sobre VPN (Red Privada Virtual). En el diagrama se puede ver que el malware implementa una comunicación directa con el sitio web, siendo ejecutado sobre un VPS (Servidor Privado Virtual) comercial que se muestra cuando se comunica con él directamente desde un navegador web.
A la hora de funcionar, tras la autenticación, el malware se dedica a funcionar en segundo plano, realizando las comunicaciones con el VPS y pudiendo así enviar tráfico mediante VPN a un servidor oculto que la CIA bautizó como Blot, el cual reenvía el tráfico a una puerta de enlace de un gestor los operadores llamado Honeycomb. Con el fin de evitar su detección por parte de los administradores de redes, el malware utilizaba certificados falsos de Kaspersky Lab.
Al contrario que en otras ocasiones, esta vez WikiLeaks no ha filtrado nada relacionado con vulnerabilidades y exploits empleados por la agencia de espionaje estadounidense.
Fuente: The Hacker News
Via: www.muyseguridad.net