AngelFire: así infectaba la CIA Windows antes de que arrancase

Virus

Wikileaks sigue desvelando herramientas de hackeo utilizadas por la CIA. La asociación que dirige Julian Assange ya ha publicado decenas de ellas, destinadas a controlar móviles, ordenadores, dispositivos de red e incluso televisiones. Ahora, una nueva, llamada AngelFire, se ejecutaba antes de iniciar Windows.

AngelFire: la manera de tomar el control de un ordenador con Windows sin que el sistema se entere

AngelFire lo que hace es implantar una puerta trasera persistente en el ordenador infectado modificando el sector de arranque. El hecho de que un malware se ejecute antes de que arranque el sistema operativo es realmente peligroso, ya que puede ejecutarse a un nivel menor que el sistema operativo, por lo que puede tener acceso a todo nuestro ordenador sin que el antivirus se dé cuenta.

CIA-arranque-windows

Esta herramienta de hackeo estaba destinada a ordenadores que funcionasen bajo Windows XP y Windows 7 en su versión de 32 bits, mientras que había una versión con implantes para 64 bits que funcionaban en Windows Server 2008 R2 y Windows 7. En total, contaba con cinco partes que trabajaban de manera conjunta para lograr el control completo de un ordenador.

  • Solartime: esta herramienta modifica la partición del sector de arranque para cargar y ejecutar Wolfcreek (código de kernel) cada vez que se arranca el sistema.
  • Wolfcreek: un driver que se carga automáticamente que carga a su vez otros drivers y aplicaciones que se ejecutan durante el uso normal del sistema operativo por parte del usuario.
  • Keystone: un componente que utiliza una técnica de inyección de DLL para ejecutar aplicaciones maliciosas en la memoria del sistema sin que tenga que haber archivos físicos en el disco duro y en el sistema de archivos para que no lo detecten los antivirus.
  • BadMFS: un archivo del sistema que intenta instalarse en el espacio no particionado disponible en el ordenador objetivo, y que almacena todos los drivers e implantes que ejecuta Wolfcreek.
  • Sistema de archivos transistorios de Windows: un nuevo método para instalar AngelFire, que permite a un operador de la CIA crear archivos transitorios o temporales para realizar tareas específicas como añadir o eliminar componentes en el malware en lugar de almacenarlos en el disco.

Indetectable e indetectable si se ejecutaba en un ordenador, incluso de manera remota

Según el manual que ha publicado Wikileaks, AngelFire requiere permisos de administrador en el ordenador objetivo para instalarse correctamente, por lo que se requiere tener acceso físico al ordenador o conseguir acceso remoto con otra herramienta de hackeo como Athena.

Es importante destacar que el hecho de que atacase a estos sistemas operativos no quiere decir que Windows 8 y 10 sean inmunes, sino que esta versión detallada por Wikileaks era de 2011, y por aquel entonces no existían las últimas versiones. Probablemente la CIA ya tenga herramientas en sus manos que aprovechen vulnerabilidades en estos sistemas.

Relacionado con Wikileaks, ésta ha sufrido un hackeo hace unas horas por parte del grupo OurMine. A las pocas horas la organización ha podido volver a la normalidad y seguir con sus publicaciones.

Escrito por Alberto García

Fuente > Wikileaks