Hive, otro malware de la CIA queda al descubierto

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

A finales de la semana anterior se conoció que un código de Hive que fue creado por expertos de la Agencia Central de Inteligencia (CIA) de EE. UU.

Hive permitió ocultar el funcionamiento de un software malicioso de modo tal que permitiera disfrazar su origen como procedente de otras empresas, en especial de la rusa Kaspersky Lab, anunció WikiLeaks en su sitio web.

“El pasado 9 de noviembre de 2017, WikiLeaks publicó el código fuente y la bitácora de desarrollo de Hive, un importante componente de la infraestructura de la CIA para controlar su software malicioso (…) Hive provee una plataforma de comunicaciones secretas para que una amplia gama de software malicioso de la CIA envíe a servidores de la agencia información transferida de otras computadoras sin autorización”, sostuvo WikiLeaks.

WikiLeaks dijo que el uso de Hive hace que sea más difícil atribuir los virus a la CIA.

El código fuente utilizado por la agencia generaba un certificado falso de la compañía anti virus Laboratorio Kaspersky, en Moscú, que simulaba estar firmado por Thawte Premium Server CA, Ciudad del Cabo.

“De esta forma, si la organización atacada observa el tráfico de red que proviene de su propia red, es probable que la información tomada de otras computadoras sin autorización se atribuya erróneamente a entidades que nada tienen que ver con el hecho y cuyas identidades fueron suplantadas”, sostuvo WikiLeaks.

Boveda 7

Las últimas filtraciones del sitio web pertenecen a la serie Bóveda WikiLeaks 7, que incluye información secreta de la CIA.

HIVE es un malware de infraestructura de back-end con una interfaz HTTPS de uso público que los implantes CIA utilizan para transferir información exfiltrada de las máquinas de destino a la CIA y para recibir comandos de sus operadores para ejecutar tareas específicas en los objetivos.

HIVE se usa en múltiples implantes de malware y operaciones de la CIA. La interfaz pública de HTTPS utiliza dominios de portada de apariencia no sospechosa para ocultar su presencia.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS