Continúan las filtraciones de WikiLeaks sobre la CIA, publicadas en su portal Vault7. En el marco de todas las filtraciones, hoy se han publicado 676 archivos que contienen el código fuente de Marble, el framework para ocultar los hackeos de la agencia estadounidense, acompañado de interesantes revelaciones.
Marble forma parte de la librería principal de malware de la CIA. A través de esta herramienta se puede redirigir los pasos de los investigadores de seguridad forenses para que a la hora de atribuir virus, troyanos y ataques informáticos sus pasos no se dirijan a la agencia de inteligencia. Según WikiLeaks, el framework se estuvo usando hasta 2016.
Desde Wikileaks aseguran que gracias a esta última revelación se podrá identificar miles de ataques y virus de la CIA, por los que se les podrá pedir responsabilidades.
Otro aspecto importante a tener en cuenta con respecto a Marble y su desarrollo son los enormes recursos de la CIA para convertirlo en una herramienta muy efectiva. Si la agencia hubiese decidido seguir con su desarrollo, cuesta imaginar a dónde hubiesen podido llegar.
RELEASE: CIA Vault 7 part 3 "Marble" https://t.co/M5NBFlXRu4 #Vault7 pic.twitter.com/HFyEf26FHK
— WikiLeaks (@wikileaks) 31 de marzo de 2017
Lo que sabemos de Marble
En el artículo publicado por la web dirigida por Julian Assange, se puede leer que Marble permite ocultar fragmentos de texto que permitirían identificar al autor del malware. Según el medio, la técnica utilizada es el equivalente digital de la herramienta que permite disfrazar el inglés en armas producidas por EE.UU. que se dan a insurgentes y rebeldes.
La herramienta está "diseñada para permitir una ofuscación flexible y fácil de usar", ya que los "algoritmos de ocultación de strings" en ocasiones apuntan a un desarrollador específico, según se recoge. También se ha revelado que el código fuente contiene ejemplos de pruebas en chino, ruso, coreano, árabe y farsi.
El potencial de Marble ha sido definido en estos términos por WikiLeaks:
La herramienta permite jugar a un doble juego de atribución forense, por ejemplo pretendiendo que el lenguaje de quien programó el malware no era inglés, sino chino, pero después mostrando intentos de ocultar el chino, llevando a los investigadores forenses a una conclusión con base, pero errónea. También existen otras posibilidades, como por ejemplo ocultar mensajes de error falsos.
En el código también incluye un "desofuscador", que permite a la CIA revertir la ocultación de texto:
Combinada con las técnicas de ofuscación reveladas, un patrón o firma emerge pudiendo asistir a investigadores forenses a atribuir anteriores ataques informáticos a la CIA.
Según se menciona en medios como Russia Today, en filtraciones anteriores se hablaba de que la CIA ya tenía la posibilidad de enmascarar su rastro.
¿Qué diferencia esta filtración del resto?
Esta noticia es demasiado importante como para quedarse única y exclusivamente con lo que nos dice WikiLeaks. Es por eso que nos hemos puesto en contacto con Josep Albors, Jefe de Conciencia e Investigación de ESET, para que nos diera una visión más especializada sobre el tema.
Para Albors, la filtración es muy importante porque "demuestra que detrás de la autoría de algunos ciberataques atribuidos a otros actores, podría estar realmente la CIA". Según el experto, esto supondría "tener que replantearse la autoría de muchos de los ataques atribuidos durante los últimos años a otras potencias como Rusia o China".
En cuanto a cómo definir el potencial de la herramienta, para Josep Albors es muy destacable que este programa ha sido desarrollado "por una de las agencias de inteligencia más poderosas del planeta y con acceso a muchos recursos", que desvelará "técnicas interesantes" y que incluso puede dar pie a que los ciberdelincuentes las usen en sus creaciones.
En esta misma línea, el investigador apunta que el verdadero potencial de Marble "es el apoyo que una herramienta de este tipo recibe de la primera potencia mundial a través de su agencia central de inteligencia, lo que le permite ir adaptándola para que sus agentes puedan utilizarla año tras año sin perder efectividad".
Con respecto a si se deben pedir responsabilidades o no a la CIA si se demuestra que ha intervenido en ataques que nunca se le atribuyeron, nos contaba lo siguiente:
Técnicamente, si se demuestra la veracidad de estas filtraciones, se le podrían pedir explicaciones a la CIA sobre la autoría de algunas de las amenazas utilizadas en casos de espionaje o sabotaje durante los últimos años. Otra cosa es que desde la CIA se quiera reconocer su autoría, algo que dudo mucho que haga.
Hay que tener en cuenta que, como agencia de inteligencia que es, se podría considerar hasta normal que contase con ciertos tipos de herramientas para poder conseguir la información que necesita para proteger los intereses de su país. Otra cosa es esperar que las empresas de ciberseguridad miren hacia otro lado con sus amenazas, algo que, por supuesto, no se hace y que les obliga a intentar que su malware pase desapercibido o, al menos, no levantar sospechas de que lo han hecho ellos.
Por último, hemos preguntado qué tiene de especial Marble que lo haga destacar por encima de las muchas técnicas de ofuscación que pueden usar otros grupos de crackers. Dado que el código fuente ha sido liberado hace pocas horas, Josep Albors nos comenta que "revisándolo por encima" ha tenido la ocasión de encontrar "funciones de ofuscación similares a las usadas por algunos desarrolladores de malware".
De nuevo, el investigador ha hecho hincapié en que no se trata tanto de las técnicas utilizadas, sino "los recursos a los que la CIA tiene acceso para ir adaptando sus amenazas conforme estas dejen de ser efectivas o sean detectadas".
Vía | WikiLeaks
En Xataka | La mayor filtración de Wikileaks sobre la CIA: casi 9.000 documentos sobre espionaje con smart TVs, smartphones y otros
Ver 2 comentarios