La estela de documentos filtrados por parte de Wikileaks continúa. Después de haber publicado casi 9.000 documentos acerca de "Vault 7", que contienen información de herramientas de espionaje usadas en Smart TVs, smartphones, ordenadores e incluso coches, Wikileaks vuelve al ataque con detalles acerca de cómo los Mac y iPhone han sido espiados por la CIA desde hace varios años.




WikiLeaks filtró 12 nuevos documentos  que proporcionan una mirada más en profundidad a las técnicas de hacking que la CIA supuestamente usó para hackear dispositivos de Apple, como Macs e iPhones. Esta filtración, que WikiLeaks identifica bajo el nombre en clave Dark Matter, forma parte de una serie de volcados denominados Vault 7, que WikiLeaks afirma que son herramientas de hacking obtenidas de la CIA.

La primera filtración, llamada Year Zero, salió a la luz a principios de marzo e incluyó páginas wiki de la intranet de la CIA, con documentación para algunas de las armas cibernéticas de la CIA.

En esta fuga original se incluyeron documentos relacionados con el supuesto arsenal de la CIA de herramientas de hacking OS X e iOS. El volcado Dark Matter de hoy proporciona 12 nuevos documentos que contienen mucha más información sobre esas herramientas.

Wikileaks había prometido que esos 9.000 documentos eran apenas el inicio, y así ha sido. Hoy están dando a conocer el proyecto "Dark Matter", que pertenece a "Vault 7" y el cual consiste en herramientas de espionaje para para dispositivos Apple. Estos serían capaces de infectar directamente el firmware del equipo, lo que significa que ni reinstalando el sistema operativo desaparecería la infección.

Dark Matter

Por ejemplo, Sonic Screwdriver es una herramienta de hacking que los operadores de CIA pueden implementar desde un adaptador Apple Thunderbolt a Ethernet.

• https://wikileaks.org/vault7/darkmatter/document/SonicScrewdriver_1p0/SonicScrewdriver_1p0.pdf

Esta herramienta de hacking permite al operador ejecutar código malicioso desde un USB, CD, DVD o disco duro portátil, durante el arranque de una Mac, incluso si el firmware de la Mac está protegido por contraseña.

Otra herramienta, llamada DarkSeaSkies, "es un implante que persiste en el firmware EFI de una computadora Apple MacBook Air, instala un implante Mac OSX 10.5 y ejecuta un implante de espacio de usuario".

Además, DarkSeaSkies incluye componentes más pequeños.

DarkSeaSkies consta de tres herramientas diferentes:

• 1. DarkMatter: Un controlador EFI que persiste en el firmware e instala las otras dos herramientas.
• 2. SeaPea: Un implante Mac OSX para el espacio del kernel que ejecuta, y provee sigilo y privilegio a los implantes del espacio del usuario.
• 3. NightSkies: Un implante Mac OSX para el espacio del usuario que se dirige a un puesto de escucha y proporciona control y comando.

Las otras dos herramientas, Triton y DerStarke, están relacionadas. Triton es un implante automatizado para Mac OS X, mientras que DerStarke es una versión sin disco, EFI-persistente de Triton.

Como puede ver, todas las herramientas se dirigen a la especificación EFI / UEFI (Unified Extensible Firmware Interface), que es un componente de software que ayuda con la inicialización de componentes de hardware mientras se inicia el sistema operativo, el antiguo BIOS.

La colocación de código malicioso en EFI / UEFI asegura a un atacante la posibilidad de ejecutar ese código malicioso en cada arranque, incluso si los usuarios vuelven a instalar su sistema operativo.

"Sonic Screwdriver"

Estos nuevos documentos detallan cómo la CIA ha estado infectando dispositivos MacBook Air durante los últimos años usando algo que han bautizado como "Sonic Screwdriver", sí, en honor a la famosa arma de Doctor Who. Esta herramienta se puede colocar en todo tipo de dispositivos USB, cables para periféricos y adaptadores, como el Thunderbolt a Ethernet que es ampliamente usado en este portátil, que al conectarse al ordenador instalan programas de espionaje sin importar que esté protegido por una contraseña.

Este código malicioso se instala durante el arranque del ordenador y se almacena de forma permanente en el kernel, por lo que no se necesitan las credenciales de acceso o algún otro dato, además de que ésta permanece incluso si se formatea todo el dispositivo. Lo preocupante de esto, es que los documentos revelan que la CIA ha seguido usando esta herramienta durante 2016, e incluso la han ido actualizando para los nuevos ordenadores Mac sin importar si son portátiles o de escritorio.

Dentro de "Dark Matter" también nos encontramos con otras iniciativas de espionaje como "NightSkies 1.2", la cual es usada desde 2008 para infectar nuevos iPhone. Cabe señalar que esta herramienta, que se trata de una "beacon/loader/implant" también se ha ido actualizando con el tiempo, pero a diferencia de la de Mac, ésta está pensada para ser instalada en dispositivos nuevos. Esto significa que la CIA ha interceptado pedidos de iPhone y atacado directamente cadenas de producción para colocar este malware en los dispositivos, algo que han estado haciendo al menos desde 2008.

Wikileaks destaca que la herramienta para Mac es muy específica para objetivos bien localizados, donde han colocado los cables y adaptadores modificados con la idea de espiar a ciertos grupos en diversas partes del mundo. Pero el caso del iPhone es distinto, ya que aquí se tuvo que atacar toda la cadena de producción, lo que significa que muchos iPhone tienen instalado este malware sin que el usuario lo sepa.

CIA apuntó a los iPhones un año después de su lanzamiento

Aunque no aparece de forma destacada en la descripción de la herramienta, el módulo DarkSeaSkies NightSkies también viene con soporte para dispositivos iPhone.

Un documento de julio de 2008, un año después del lanzamiento del iPhone, detalla cómo NightSkies podría proporcionar "carga, descarga y capacidad de ejecución" en los dispositivos Apple iPhone 3G v2.1.

El documento dice que los operadores de la CIA necesitaban acceso físico para instalar el implante NightSkies, pero una vez instalado, NightSkies sólo funcionaría cuando detectara la actividad del usuario en el dispositivo, ocultando el tráfico entre las acciones del usuario. Esto proporciona un atacante patrocinado por el estado como la CIA con la ventaja que todos los APT desean más, que es el sigilo.

Aunque los documentos filtrados no mencionan este detalle, WikiLeaks afirma que NightSkies "está expresamente diseñado para ser instalado físicamente en iPhones frescos de fábrica", y que "la CIA ha estado infectando la cadena de suministro de iPhone de sus objetivos desde al menos 2008."

En el momento de escribir la CIA nunca ha reconocido oficialmente la autenticidad de los documentos filtrados WikiLeaks. Sin embargo, motherboard señaló ayer que la Agencia había pedido a un juez que no permitiera que los documentos descargados por WikiLeaks en un caso, ya que eran "contenido clasificado", reconociendo accidentalmente su autenticidad.

Más información | Wikileaks


No está claro si la CIA tiene capacidad para hackear productos más modernos y con medidas de seguridad mucho más estrictas que las de entonces, aunque es obvio que esta es una de sus metas.

También es evidente que Apple no está particularmente contenta con estas revelaciones, a juzgar por el comunicado emitido por la firma de Cupertino:

Hemos realizado una valoración preliminar de las revelaciones de WikiLeaks de esta mañana. Basándonos en nuestro análisis inicial, la vulnerabilidad solo afectaba al iPhone 3G y fue solucionada en 2009 cuando se lanzó el iPhone 3GS. De forma adicional, nuestra valoración preliminar muestra que las supuestas vulnerabilidades fueron resueltas en todos los Mac lanzados después de 2013.

No hemos negociado con WikiLeaks para obtener información alguna. Les hemos proporcionado instrucciones para entregar cualquier información que deseen bajo nuestro proceso normal bajo nuestros términos estándar. De momento no hemos recibido información alguna por su parte que no sea de dominio público. Defendemos sin descanso la seguridad y la privacidad de nuestros clientes, pero no condonamos el robo o nos coordinamos con aquellos que amenazan con hacer daño a nuestros usuarios.

El tono utilizado por Apple no es el habitual. En parte porque, a pesar de que WikiLeaks se ha ofrecido a colaborar con las compañías afectadas por estas herramientas para tapar sus agujeros de seguridad, la organización ha señalado que solo lo hará si las firmas afectadas aceptan una serie de condiciones no reveladas.

Fuentes:
https://www.xataka.com/seguridad/si-los-mac-tambien-han-estado-expuestos-al-espionaje-por-parte-de-la-cia-segun-wikileaks
https://www.bleepingcomputer.com/news/government/new-wikileaks-dump-provides-details-on-cias-mac-and-iphone-hacking-tools/