Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/09/2017

Nuevo framework de hackeo de la CIA publicado por Wikileaks Vault7

El nuevo framework publicado, llamado AngelFire, infecta el sector de arranque para controlar equipos Windows.

Ayer WikiLeaks publicó una nueva entrada en su página de proyectos de Vault7 en la que está recopilando todas las herramientas que se obtuvieron en el hackeo a la CIA publicado hace unos meses.

Este nuevo conjunto de herramientas implanta una puerta trasera en sistemas Windows modificando el sector de arranque del sistema operativo, e incluye cuatro componentes principales:

1. Solartime: Modifica el sector de arranque de Windows para ejecutar Wolfcreek cada vez que se inicia el sistema.
2. Wolfcreek: Driver del kernel cargado en el inicio del sistema y que sirve para cargar el resto de componentes una vez iniciado el sistema.
3. Keystone: Componente que mediante inyección de DLL ejecuta aplicaciones maliciosas directamente en memoria, sin que lleguen al disco duro.
4. BadMFS: Sistema de ficheros encubierto que se instala en espacio no particionado del disco duro de la víctima y almacena todos los drivers e implantes que Wolfcreek inicia.
5. Windows Transitory File System: nuevo método para instalar AngelFire que permite al operador de la CIA crear ficheros temporales para tareas específicas en lugar de dejar dichos ficheros en el disco de la víctima.

La versión de 32 bits de AngelFire funciona contra Windows XP y 7, mientras que la versión de 64 bits funciona con Windows 7 y Server 2008 R2.

Más información en TheHackerNews y Wikileaks.

CSIRT-CV