Artículos

Los juguetitos de la NSA para infiltrarse y atacar a sus “objetivos”

por Skoorph para Lignux

2iratemonkAyer conocíamos que, según Der Spiegel, la NSA tenía software y hardware a su disposición para crear puertas traseras en prácticamente cualquier dispositivo, y hoy hemos conocido detalles adicionales sobre esas herramientas.

Además de nombres cada vez más raros, las diapositivas desvelan sistemas para inyectar paquetes por wifi con un alcance de hasta doce kilómetros, troyanos para BIOS, discos duros o iPhones y más.

Ataques contra móviles con estaciones GSM y troyanos

1candygram

Cuando la NSA tiene como objetivo un móvil, no hay escasez de herramientas. TYPHON HX es una estación GSM que permite a los agentes controlar la señal de los teléfonos (procesando llamadas y SMS) y con la posibilidad de geolocalizarles. Muy similar esCANDYGRAM, con la posibilidad de control remoto por SMS, listas de teléfonos objetivos y que cuesta sólo cuarenta mil dólares.

Pero no todo es suplantar estaciones telefónicas. MONKEYCALENDAR es un malware para las tarjetas SIM: las infecta y, usando la interfaz STK (una API para comunicarse con el teléfono), pide al teléfono la posición geográfica y la envía a través de SMS al agente que corresponda.

Y para los iPhoneDROPOUTJEEP es un malware que puede enviar y recibir archivos del dispositivo y recuperar los SMS, contactos, localización, buzón de voz, fotos de la cámara… Los datos se envían a la NSA a través de SMS o de una conexión de datos.

Infiltración en ordenadores al más bajo nivel

2iratemonk

Hay tres herramientas muy destacadas para entrar en un sistema informático. La primera es SWAP, que se instala en la BIOS del sistema operativo y en la zona protegida de los discos duros. Periódicamente, SWAP se ejecutará al iniciar el ordenador y ejecutará su carga (payload), posiblemente enfocada a infectar el sistema operativo. SWAP soporta sistemas Linux, Windows, FreeBSD y Solaris.

De forma similar, IRATEMONK se instala en el MBR (Master Boot Record, los registros que indican cómo arrancar el sistema) para tomar control del sistema al arrancar el ordenador. Para ello, se accede de forma remota o física al ordenador objetivo para, a través de otras herramientas llamadas UNITEDRAKE, STRAITBAZZARE y SLICKERVICAR, modifican el firmware del disco duro. IRATEMONK soporta discos duros de los principales fabricantes: Western Digital, Maxtor, Seagate y Samsung

Por último, IRONCHEF es un sistema similar a IRATEMONK que además de mantener una puerta trasera persistente en la BIOS e infectar continuamente el sistema operativo,controla un implante hardware, físico, que transmite los datos que necesite la NSA por radio.

¿Cómo llegar hasta los ordenadores?

3nightstand

Para implantar el malware que comentábamos en la sección anterior, la NSA necesita acceder a los ordenadores. Y no tiene escasez de herramientas en este sentido: conNIGHTSTAND, por ejemplo, pueden inyectar paquetes en los ordenadores con Windows hasta XP SP2 (las diapositivas son del 2008). El alcance de este sistema es muy grande:hasta 12.8 kilómetros en condiciones ideales.

Y si no tienen acceso cercano a los ordenadores, la agencia cuenta con el programaQUANTUM. Con él, es capaz de infectar prácticamente cualquier sistema sin demasiado esfuerzo.

Además, la NSA cuenta con malware para infectar routers de Cisco, Juniper y Netscreen, de los más usados en el mundo de las redes. De esta forma, puedenespiar el tráfico y, posiblemente, infectar a los ordenadores conectados a ellos.

Todos estos detalles no son tan sorprendentes como anteriores revelaciones, pero confirman que no hay nada que se le resista a la NSA. Y, de nuevo, el problema es que no sabemos contra quién se han usado estas herramientas ni si ha habido infecciones contra usuarios que ni siquiera eran sospechosos.

Mas información: Gráfico interactivo mucho más detallado (Der Spiegel)

Si no funciona dejo aquí un archivo comprimido con todas las imágenes del gráfico