Retroceso: herramientas de piratería de la NSA: lo que necesita saber

[ware_item id=33][/ware_item]

Al anunciar la subasta de la agencia de la NSA fabricada "armas cibernéticas" por un grupo de piratas informáticos "Shadow Brokers" confirma el alijo de documentos publicados por el denunciante Edward Snowden. De hecho, afirma que este software auténtico de la NSA se usa en secreto para infectar computadoras en todo el mundo. Durante el debate sobre cómo se filtró este software, una cosa está más allá de la certeza de que este malware se origina en la agencia de la NSA.


Cadena de 16 caracteres que vinculan fuga de Shadow Broker y malware

Edward Snowden, nunca antes publicado al público, proporciona la evidencia de los volcados de datos de Shadow Broker que se conectan al manual de la agencia interna de la NSA. El borrador del manual guía a los operadores de la NSA para rastrear su uso de programas de malware mediante una cadena de 16 caracteres, "ace02468bdf13579". La fuga de Shadow Broker muestra esta cadena a través de los datos que asocian el código con un programa.

Lo que otros tenían que decir y el silencio de la NSA

"Fingir esta información sería monumentalmente difícil, hay un volumen tan grande de cosas significativas", dijo Nicholas Weaver, investigador de seguridad informática en la Universidad de California en Berkeley, en una entrevista con WashingtonPost. "Gran parte de este código nunca debería abandonar la NSA".

Los archivos publicados parecían ser ciertos, según el ex personal que trabajaba en la división de piratería de la agencia de la NSA, conocida como Operaciones de acceso a medida (TAO).

"Sin duda, son las llaves del reino", dijo un ex empleado de TAO, que habló con WashingtonPost bajo condición de anonimato para discutir operaciones internas delicadas. "Las cosas de las que estás hablando minarían la seguridad de muchas de las principales redes gubernamentales y corporativas, tanto aquí como en el extranjero".

Un segundo ex pirata informático de TAO que vio el archivo: "Por lo que vi, no había duda en mi mente de que era legítimo".

"Lo que está claro es que estas son herramientas de piratería altamente sofisticadas y auténticas", dijo Oren Falkowitz, director ejecutivo de Seguridad del Área 1 y otro ex empleado de TAO.

"Fingir esta información sería monumentalmente difícil, hay un volumen tan grande de cosas significativas", dijo Nicholas Weaver, investigador de seguridad informática en la Universidad de California en Berkeley, en una entrevista con WashingtonPost. "Gran parte de este código nunca debería abandonar la NSA".

Tuiteó Snowden: "La evidencia circunstancial y la sabiduría convencional indican la responsabilidad de Rusia". Dijo que la divulgación "es probablemente una advertencia de que alguien puede probar la responsabilidad de los EE. UU. Por cualquier ataque que se originó en este" redirector o servidor de malware al vincularlo a la agencia de la NSA.

Hablando con The Intercept, el criptógrafo de la Universidad Johns Hopkins, Matthew Green, dijo:

“El peligro de estas vulnerabilidades es que pueden usarse para apuntar a cualquier persona que esté utilizando un enrutador vulnerable. Esto es el equivalente a dejar herramientas para abrir cerraduras en la cafetería de una escuela secundaria. De hecho, es peor, porque muchas de estas vulnerabilidades no están disponibles a través de otros medios, por lo que ahora están llamando la atención de los fabricantes de firewall y enrutadores que necesitan solucionarlos, así como de los clientes que son vulnerables. "

-

Por lo tanto, el riesgo es doble: primero, que la persona o personas que robaron esta información podrían haberla usado en nuestra contra. Si esto es realmente Rusia, entonces se supone que probablemente tengan sus propias hazañas, pero no hay necesidad de darles más. Y ahora que se han lanzado las hazañas, corremos el riesgo de que los delincuentes comunes las usen contra objetivos corporativos ”.

El investigador de seguridad Mustafa Al-Bassam publicó su examen detallado y trabaja en las herramientas filtradas en su página web personal.

Por otro lado, la agencia de la NSA no respondió a las preguntas sobre Shadow Brokers, los documentos de Snowden o su malware.

El dilema de la SEGUNDA FECHA

Mientras que las otras herramientas de malware ofensivas con nombre en código, como POLARSNEEZE y ELIGIBLE BOMBSHELL, todavía se están evaluando para su verdadero propósito. La SEGUNDA FECHA es el foco principal debido a su conectividad con TURBINE con nombre en código, esfuerzo de explotación en 2014 y BADDECISION.

El SECONDDATE filtrado, junto con otras herramientas de malware, es un programa especializado de malware de la agencia NSA que tiene como objetivo secuestrar y monitorear las actividades de millones de computadoras en todo el mundo. Marcar la historia con el lanzamiento de estas copias completas de las herramientas de malware ofensivo de la NSA muestra la realidad de los sistemas descritos en los documentos que Edward Snowden filtró.

SECONDDATE es una herramienta maliciosa para interceptar las solicitudes web y redirige los navegadores a un servidor web NSA. Ese servidor luego infecta esa computadora con malware. Ese servidor web denominado FOXACID se menciona anteriormente en documentos previamente filtrados de Snowden.

Una sección en un manual clasificado titulado "FOXACID SOP for Operational Management", un borrador de documento de 31 páginas, señala esa misma cadena y describe herramientas para rastrear a las víctimas enviadas al servidor web FOXACID, incluido un sistema de etiquetas utilizado para catalogar servidores junto con diferentes identificadores:

Ese mismo MSGID apareció en 14 archivos diferentes de fuga de ShadowBroker, incluido un nombre de archivo titulado "SecondDate-3021.exe".

SEGUNDA FECHA Y MALA DECISIÓN

La existencia de la SEGUNDA FECHA encaja con las filtraciones inéditas de Edward Snowden que conectan la SEGUNDA FECHA con BADDECISION, que es una herramienta más amplia para la infiltración.

En 2010, se filtraron documentos, se realizó una presentación de PowerPoint denominada "Introducción a BADDECISION", en la que una diapositiva describía que esta herramienta está diseñada para enviar a los usuarios de una red inalámbrica, a veces denominada red 802.11, a servidores de malware FOXACID.

Además, en estos archivos filtrados, un caso de documento de presentación de abril de 2013 con la aplicación de SECONDDATE en el extranjero: violando la "División VIP de la Corporación Nacional de Telecomunicaciones de Pakistán (NTC)", que contiene documentos pertenecientes a "la columna vertebral de la red de comunicaciones de la Línea Verde de Pakistán" utilizada por "civil y liderazgo militar ". y en Líbano por infectar a un ISP libanés para extraer" más de 100 MB de datos de la Unidad 1800 de Hizballah ", un subconjunto especial del grupo terrorista dedicado a ayudar a los militantes palestinos.

SECONDDATE es solo uno de los métodos que utiliza la agencia de la NSA para obtener la transferencia del navegador de su objetivo en un servidor FOXACID. Otros métodos incluyen el envío de spam para infectar con errores o enlaces de correo electrónico basados ​​en la web que conducen al servidor FOXACID.

Lo que dijo Edward Snowden?

Mientras que muchos piensan que la agencia de la NSA está siendo pirateada. Pero en la serie de tuits, señaló que las computadoras que usa la sede de la agencia de la NSA para atacar se vieron comprometidas debido a que alguien no pudo limpiar el sistema, lo que llevó a un grupo de piratas informáticos a aprovechar la oportunidad.

Foto: Associated Press