Wikileaks revela de manera semanal documentos dentro de programa Vault 7, el cual revela las herramientas que utilizaba (y muchos de ellas utiliza, aunque actualizadas) la CIA para hackear y poder infectar a todo tipo de objetivos fue de Estados Unidos. Ahora, han desvelado que la CIA trabajó con algunas empresas para coger ideas para desarrollar malware.

En concreto, sería la empresa Raytheon Blackbird Technologies la cual envió a la CIA cinco informes dentro del programa Umbrage Component Library (UCL) entre noviembre de 2014 y septiembre de 2015. El programa UCL ha sido mencionado en algunos documentos anteriores, y en esos documentos podíamos ver que sus equipos de desarrollo cogían código de malware disponible públicamente para desarrollar ellos sus propias herramientas.

En estos informes había pequeños análisis sobre vectores de ataque para malwares y demostraciones de algunos de ellos. Estas herramientas secretas estaban diseñadas por grupos de ciberespionaje y hackeo. Su objetivo era ayudar a la CIA en su Remote Development Branch (RDB) para coger ideas a la hora de desarrollar sus propios proyectos de malware, los cuales hemos recogido en ADSLZone e incluyen todo tipo de herramientas, siendo BothanSpy y Highrise las más recientes.

Informes que Raytheon envió a la CIA sobre malware y herramientas de hackeo

Estos informes, por los que la CIA pagó dinero a Raytheon, son muy escuetos y demuestran en muchos casos que no sabían a qué se estaban enfrentando, mostrando bastante poca profesionalidad.

These documents are really weak analysis; and in many cases just straight-up wrong. CIA should ask for their money back.

— Pwn All The Things (@pwnallthethings) July 19, 2017

Informe 1 – HTTPBrowser

En este primer informe, los analistas de Raytheon detallan una variante de HTTPBrowser Remote Access Tool (RAT), un keylogger usado por un grupo de ciberespionaje chino llamado Emissary Panda.

Informe 2- NfLog

Este segundo informe detalla una variante de NfLog Remote Access Tool, también conocida como IsSpace, que usaba otro grupo chino llamado Samurai Panda. Este malware, que mezclaba un exploit de día cero de Adobe Flash Play (CVE-2015-5122, ya parcheado), y una técnica de bypass del Control de usuario, permitía espiar y obtener credenciales saltándose el firewall de Windows.

Informe 3 – Regin

En este tercer informe se detalla Regin, un malware sofisticado que fue visto por primera vez en 2013 y está diseñado para espiar y recolectar datos. Aún más sofisticado que Stuxnet y Duqu, se cree que este malware fue diseñado por la NSA como herramienta de ciberespionaje completamente personalizable, siendo ideal para ser utilizada para persistir en un ordenador y operaciones de espionaje de largo plazo contra determinados objetivos.

Informe 4 – HammerToss

El cuarto malware detallado es HammerToss, desarrollado por el gobierno ruso, y que fue descubierto a principios de 2015. La herramienta aprovecha cuentas de Twitter, GitHub y webs vulneradas junto a almacenamiento en la nube para orquestar ataques de control remoto para ejecutar comandos en dispositivos infectados.

Informe 5 – Gamker

El último malware detallado es Gamker, cuyas características de autoinyección de código y sus métodos de enganche llamaron la atención de la CIA. En el proceso de inyección, Gamker suelta una copia de sí mismo usando un nombre de archivo al azar y se inyecta en un proceso diferente.