El interminable repertorio de malware y spyware de la NSA

0

Hoy vamos a comentar, para no perder la costumbre, nuevas filtraciones referentes a las actividades subversivas de la agencia de Seguridad Nacional americana: NSA.

Primero vamos a traer al frente una situación que seguro muchos desconocen. En Julio del año pasado, en plena apoteosis del caso Snowden y los ciber-ataques dirigidos por estados, las actividades de espionaje de supervisión de la agencia provocaron unas pérdidas de más de 2,7 millones de dólares. 

El organismo damnificado (estatal en este caso) fué la propia EDA -Economic Development Administration- de EEUU. El cabeza de la organización en el apartado de infraestructura IT (CIO) decidió “arrasar con fuego” la infraestructura de servidores de correo y de otros tipos, así como hardware y dispositivos de la organización, que fueron desmantelados por un temor atroz ante un supuesto malware persistente. Fueron 2,7 millones de dólares que salieron del bolsillo de los contribuyentes.

Advanced Network Technology o ANT

Si bien la reacción anteriormente comentada fué claramente fruto de una enajenación mental, viéndolo con perspectiva y con datos actuales comprobamos que no estaría lejos de la realidad. El catálogo de malware/software dudoso que conocemos ahora posee la organización es sencillamente brutal. Tanto, que resulta hasta ofensivo.

Der Spiegel ha sido uno de los medios que más información al respecto ha facilitado. De hecho, ANT incluye hasta exploits que se alojan en archivos BIOS y permanecen activos sin importar si reinstalamos el sistema operativo.

El catálogo interno de exploits en manos de la agencia también habla de backdoors o puertas traseras persistentes en hardware, firmware y, por supuesto, software. Todo esto contrasta y sonroja ya que se parece mucho a aquello que los americanos denunciaban del gobierno de China, pocos meses atrás.

Según cuenta Der Spiegel, la NSA “planta” su spyware en equipamiento informático cuando este está siendo transportado: “Si una organización o individuo objetivo encarga un nuevo dispositivo (o accesorios), TAO puede puede desviar el recorrido de transporte original hacia sus propios talleres clandestinos”. Allí, los agentes especialistas de la NSA instalarán malware indetectable o hardware suplementario con la función de suspender la privacidad.

TAO responde al nombre de Tailored Access Operations, un grupo de operaciones especiales aplicado a la tecnología y cuya efectividad y recursos escapan incluso a nuestra imaginación.

Espionaje a la carta

Vamos a detallar algunos de los módulos más sofisticados. También podéis revisar la entrada del experto alemán Jacob Applebaum, que revisa múltiples herramientas de espionaje empleando ciertas dosis de humor. Tened en cuenta que estas entradas datan de 2008, aunque la mayoría de ellas siguen vigentes o han sufrido pocos cambios.

Microsoft no es el único sistema vulnerado, se le unen Linux, FreebBSD o Solaris, pero trataremos las referentes a Windows por ser las más cercanas a nosotros:

1. DEITYBOUNCE

Se trata de una de las varias opciones de espionaje a nivel de software o firmware. La BIOS del sistema será la clave empleada en este caso, siendo atacada y empleandola en combinación con SMM o Modo de Mantenimiento de Sistema. De esta forma el spyware se ejecutará de forma repetida en el arranque del sistema.

Deity Bounce facilita persistencia dentro de sistemas de software asociados a familias de servidores DELL

2. FEEDTHROUGH

Se trata de un módulo que, junto con dos implantes de software llamados Bananaglee y Zestikleak son empleados para vulnerar los sistemas de firewall de Juniper, concretamente la familia NetScreen.

Sistema de espionaje diseñado para operar con Firewalls de Juniper

3. HALLUXWATER

Otro de los módulos de spyware empleados por la NSA en sistemas de firewall. Esta puerta trasera tiene como objetivo firewalls de la marca Huawei, concretamente Eudemon. Se instala aprovechando una actualización de firmware de arranque. Cuando el sistema se reinicia, el software espía busca los puntos de parcheo necesarios para asentar la backdoor e interferir en los intercambios de paquetes.

Sistema de espionaje diseñado para operar sobre Firewalls de Huawei

4. IRONCHEF

Ironchef proporciona acceso persistente a sistemas vulnerando el sistema BIOS (Basic Input Output System) de los PC objetivo. Mediante el uso de SMM se comunicará con un implante de hardware -en lugar de software como en el caso anterior- que proporcionará comunicacion de Radio Frecuencia de dos direcciones.

Ironchef es otro de los sistemas que emplea la NSA para vulnerar la BIOS de los ordenadores

5. NIGHTSTAND

Una herramienta diseñada con el objetivo de interceptar señales enviadas a través de las populares redes Wifi. Nightstand se usa en situaciones en las que no existe conexión vía cable hasta el dispositivo. Este malware lanza su carga útil en sistemas algo anticuados como Windows XP, incluyendo aquellos cn Service Pack 1 y SP2.

Es uno de los que más revuelo está causando, dado el alcance que puede tener sobre el usuario de a pie y debido, además, a que está diseñado para operar sobre el sistema operativo más popular, el de Microsoft.

Se trata de un maletín que incluye todo lo necesario, empleando hardware avanzado y dos antenas que garantizan, bajo condiciones óptimas, un alcance de 12 Kilómetros. El usuario no detectará de ninguna forma la intrusión.

NightStand, sistema diseñado para vulnerar comunicaciones Wireless

6. SPARROW

Otro sistema destinado al reconocimiento e intercepción de señales wireless. Se trata de un computador de tamaño minúsculo, destinado  operaciones especiales o que requieran contacto directo con el entorno espiado. 

El dispositivo cuenta con reconocimiento de múltiples modelos de tarjetas Wifi, junto con módulo de posicionamiento GPS y ranuras mini PCI. La antena extra le permite mantener conexiones con varias fuentes simultáneas (o bien con su centro de Comando y Control)

Sparrow es otro sistema, esta vez un SoC, diseñado para interceptar señales Wifi, esta vez en tamaño de bolsillo

Estas son algunas de las herramientas con más renombre dentro del catálogo de spyware y malware del grupo TAO de la NSA. Pero ni mucho menos son las únicas. 

Si queréis revisar la lista completa podéis hacerlo aquí.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR