WikiLeaks acaba de publicar un nuevo conjunto de documentos clasificados vinculados a otro proyecto de la CIA, denominado “Imperial“, que revela detalles de al menos tres herramientas e implantes de hacking desarrollados por la CIA diseñados para dirigirse a computadoras que usan el sistema operativo Mac OS X y diferentes distribuciones de Linux.
En marzo de este año hubo una gran revelación de Wikileaks sobre herramientas de hackeo creadas por la CIA o el NSA, miles de documentos se hicieron públicos bajo el nombre de Vault7. Por ejemplo los ransomware WannaCry y NotPetya se basan en vulnerabilidades reveladas por Wikileaks in Vault7.
A la ya gran lista de herramientas y vulnerabilidades contenidas en Vault7 ahora debemos añadir tres nuevas amenazas que puden ser explotadas por cibercriminales para crear nuevo malware:
- Achilles, es una herramienta de hacking que permite a los operadores de la CIA combinar aplicaciones legítimas con troyanos maliciosos para la plataforma Mac OS, funciona de la siguiente manera, en un archivo de instalación de imágenes de disco (.DMG), la herramienta de enlace, un script del shell se escribe, esto da a los operadores de la CIA “uno o más ejecutables especificados por el operador deseado” para una ejecución única al momento de la instalación.
Tan pronto como un usuario desprevenido descarga una imagen de disco infectada en su computadoraApple, abre e instala el software, los ejecutables maliciosos también se ejecutarían en segundo plano, sin que el usuario se de cuenta de ello.
Después, todos los rastros de la herramienta Achilles serían “eliminados de forma segura” de la aplicación descargada para que el archivo se “asemejara exactamente” a la aplicación legítima original, haciendo difícil para los investigadores y el software antivirus detectar cuál fue el vector de infección inicial.
Achilles v1.0, fue desarrollado en 2011, sólo se probó en Mac OS X 10.6, que es el sistema operativo Snow Leopard de Apple que la compañía lanzó en 2009. Pero basado en esta vulnerabilidad los cibercriminales pueden crear versiones actualizadas para atacar versiones recientes de Mac OS. - SeaPea, esta herramienta de hacking está diseñada para atacar un Mac OS X e instalar un rootkit que ofrece a los operadores de la CIA furtividad y capacidades de lanzamiento de herramientas en la computadora infectada, ocultando archivos importantes, procesos y conexiones de socket a dueño de la computadora comprometida. De esta manera los operativos de la CIA pueden acceder a las Macs sin el conocimiento de las víctimas.
Desarrollado en 2011, el Mac OS X Rootkit funciona en equipos que ejecutan el último sistema operativo Mac OS X 10.6 (Snow Leopard) (32 o 64 bits compatibles con el núcleo) y Mac OS X 10.7 (Lion).
El rootkit requiere que el acceso root se instale en un equipo Mac de destino y no se puede eliminar a menos que el disco de inicio se reformatee o que el Mac infectado se actualice a la siguiente versión del sistema operativo. - Aeris, esta es la tercera herramienta de hacking de la CIA revelada por Wikileaks. Denominada Aeris, es un implante automatizado escrito en lenguaje de programación C diseñado específicamente para sistemas operativos portátiles basados en Linux, entre las distribuciones afectadas están: Debian, CentOS, Red Hat, además de también poder ser usada para atacar otros sistemas Unix como FreeBSD y Solaris.
Aeris es un constructor que los operadores de la CIA pueden utilizar para generar impactos personalizados, dependiendo del tipo de su operación encubierta.
El texto que describe el funcionamiento de Aeris publicado en Vault7 dice esto:
“Soporta la exfiltración automatizada de archivos, el intervalo configurable de balizas y jitter, soporte independiente y soporte basado en colisiones HTTPS y soporte de protocolo SMTP, todo con comunicaciones cifradas TLS y con autenticación mutua.
Es compatible con la Especificación Criptográfica NOD y proporciona un comando y control estructurado similar al utilizado por varios implantes para Windows.“.
Dada esta nueva revelación será cuestión de semanas para que veamos nuevas familias de malware atacando la plataforma Mac OS y Linux. Hay que estar preparados.