Ayer conocíamos que, según Der Spiegel, la NSA tenía software y hardware a su disposición para crear puertas traseras en prácticamente cualquier dispositivo, y hoy hemos conocido detalles adicionales sobre esas herramientas.
Además de nombres cada vez más raros, las diapositivas desvelan sistemas para inyectar paquetes por wifi con un alcance de hasta doce kilómetros, troyanos para BIOS, discos duros o iPhones y más.
Ataques contra móviles con estaciones GSM y troyanos
Cuando la NSA tiene como objetivo un móvil, no hay escasez de herramientas. TYPHON HX es una estación GSM que permite a los agentes controlar la señal de los teléfonos, procesando llamadas y SMSs y con la posibilidad de geolocalizarles. Muy similar es CANDYGRAM, con la posibilidad de control remoto por SMS, listas de teléfonos objetivos y que cuesta sólo cuarenta mil dólares.
Pero no todo es suplantar estaciones telefónicas. MONKEYCALENDAR es un malware para las tarjetas SIM: las infecta y, usando la interfaz STK (una API para comunicarse con el teléfono), pide al teléfono la posición geográfica y la envía a través de SMS al agente que corresponda.
Y para los iPhone, DROPOUTJEEP es un malware que puede enviar y recibir archivos del dispositivo y recuperar los SMS, contactos, localización, buzón de voz, todos de la cámara… Los datos se envían a la NSA a través de SMS o de una conexión de datos.
Infiltración en ordenadores al más bajo nivel
Hay tres herramientas muy destacadas para entrar en un sistema informático. La primera es SWAP, que se instala en la BIOS del sistema operativo y en la zona protegida de los discos duros. Periódicamente, SWAP se ejecutará al iniciar el ordenador y ejecutará su carga (payload), posiblemente enfocada a infectar el sistema operativo. SWAP soporta sistemas Linux, Windows, FreeBSD y Solaris.
De forma similar, IRATEMONK se instala en el MBR (Master Boot Record, los registros que indican cómo arrancar el sistema) para tomar control del sistema al arrancar el ordenador. Para ello, se accede de forma remota o física al ordenador objetivo para, a través de otras herramientas llamadas UNITEDRAKE, STRAITBAZZARE y SLICKERVICAR, modificar el firmware del disco duro. IRATEMONK soporta discos Western Digital, Maxtor, Seagate y Samsung, los principales fabricantes.
Por último, IRONCHEF es un sistema similar a IRATEMONK que además de mantener una puerta trasera persistente en la BIOS e infectar continuamente el sistema operativo, controla un implante hardware, físico, que transmite los datos que necesite la NSA por radio.
¿Cómo llegar a los ordenadores?
Para implantar el malware que comentábamos en la sección anterior, la NSA necesita acceder a los ordenadores. Y no tiene escasez de herramientas en este sentido: con NIGHTSTAND, por ejemplo, pueden inyectar paquetes en los ordenadores con Windows hasta XP SP2 (las diapositivas son del 2008). El alcance de este sistema es muy grande: hasta 12.8 kilómetros (8 millas) en condiciones ideales.
Y si no tienen acceso cercano a los ordenadores, la agencia cuenta con el programa QUANTUM, del que ya os hablamos cuando comentamos el espionaje a usuarios de Tor. Con él, es capaz de infectar prácticamente cualquier sistema sin demasiado esfuerzo.
Además, la NSA cuenta con malware para infectar routers de Cisco, Juniper y Netscreen, de los más usados en el mundo de las redes. De esta forma, pueden espiar el tráfico y, posiblemente, infectar a los ordenadores conectados a ellos.
Todos estos detalles no son tan sorprendentes como anteriores revelaciones (al fin y al cabo, ya sabíamos que la NSA está muy avanzada en seguridad informática), pero confirman que no hay nada que se le resista a la agencia estadounidense. Y, de nuevo, el problema es que no sabemos contra quién se han usado estas herramientas ni si ha habido infecciones contra usuarios que ni siquiera eran sospechosos.
Fuente: Genbeta
