X-Steel - Wait

jueves, 13 de marzo de 2014

LA NSA SE HACE PASAR POR FACEBOOK E INFECTA MILLONES DE COMPUTADORAS CON MALWARE



LA NSA INFECTA MILLONES DE COMPUTADORAS CON MALWARE EN TODO EL MUNDO




Documentos secretos revelan que la Agencia de Seguridad Nacional está ampliando considerablemente su capacidad para introducirse secretamente en los ordenadores en una escala masiva mediante el uso de sistemas automatizados que reducen el nivel de supervisión humana en el proceso.

Los archivos clasificados - proporcionados previamente por NSA denunciante Edward Snowden -”. Implantes " contienen nuevos detalles sobre la innovadora tecnología de vigilancia que la agencia ha desarrollado para infectar potencialmente a millones de ordenadores en todo el mundo con el malware.La iniciativa clandestina permite a la NSA para entrar en los equipos de destino y para sifón a los datos de las redes de Internet y teléfonos extranjeros.




La infraestructura encubierta que apoya los esfuerzos de hackers opera desde la sede de la agencia en Fort Meade, Maryland, y de las bases de espionaje en el Reino Unido y Japón. GCHQ, la agencia de inteligencia británica, parece haber desempeñado un papel integral en ayudar a desarrollar la táctica implantes.

En algunos casos, la NSA ha hecho pasar por un servidor de Facebook falsa, utilizando el sitio de redes sociales como plataforma de lanzamiento para infectar el ordenador de un objetivo y exfiltrate archivos de un disco duro. En otros, se ha enviado correos electrónicos de spam mezclada con el malware, que se pueden adaptar a grabar secretamente audio desde el micrófono de una computadora y tomar instantáneas con su cámara web. Los sistemas de hackers también han permitido a la NSA para lanzar ataques cibernéticos al corromper e interrumpir la descarga de archivos o denegar el acceso a sitios web.

Los implantes están desplegando una vez estaban reservados para unos pocos cientos de objetivos de difícil alcance, cuyas comunicaciones no pudieron ser controlados a través de escuchas telefónicas tradicionales. Pero los documentos analizados por The Intercepción muestran cómo la NSA ha acelerado agresivamente sus iniciativas de hacking en la última década mediante la informatización de algunos procesos previamente manejados por los seres humanos. El sistema automatizado - TURBINA nombre código - está diseñado para " permitir que la red del implante actual a escala de gran tamaño (millones de implantes) mediante la creación de un sistema que automatiza los implantes de control por parte de grupos en lugar de individualmente. "

En una presentación de alto secreto, fechado en agosto de 2009, la NSA describe una parte pre - programada de la infraestructura secreta llamada el " sistema experto ", que está diseñado para funcionar " como el cerebro. " El sistema gestiona las aplicaciones y funciones del implantes y " decide " qué herramientas necesitan mejores extraer datos de las máquinas infectadas.

Mikko Hypponen , experto en malware de quien se desempeña como jefe de investigación de la empresa de seguridad finlandesa F-Secure , llama a las revelaciones " inquietante. " Técnicas de vigilancia de la NSA, advierte, sin darse cuenta podrían socavar la seguridad del Internet.



 "Cuando se despliegan malware en sistemas", dice Hypponen , " potencialmente crean nuevas vulnerabilidades en estos sistemas, haciéndolos más vulnerables a ataques de terceros . "

Hypponen cree que los gobiernos podrían justificar posiblemente usando el malware en un pequeño número de casos dirigidos contra los adversarios. Pero millones de implantes de malware se están desplegando por la NSA como parte de un proceso automatizado, dice, estaría "fuera de control”.

" Eso definitivamente no sería proporcional ", comenta Hypponen . " No podría estar focalizada y ser nombrado. Suena como la infección por mayor y al por mayor de la vigilancia”.

La NSA se negó a responder preguntas acerca de su despliegue de los implantes, que apunta a una nueva directriz de política presidencial anunciada por el presidente Obama. " A medida que el presidente dejó claro el 17 de enero", dijo la agencia en un comunicado, " la inteligencia de señales se percibirá exclusivamente donde hay una inteligencia extranjera o contrainteligencia propósito de apoyar misiones nacionales y departamentales , y no para otros fines. "


“Ser propietario de la red"


La NSA comenzó rápidamente creciente sus esfuerzos de hacking hace una década. En 2004, según los registros internos secretos, la agencia fue la gestión de una pequeña red de sólo 100 a 150 implantes. Pero en los próximos seis a ocho años, como una unidad de élite llamado Tailored Acceso Operaciones (TAO) reclutó nuevos hackers y desarrolló nuevas herramientas de malware, el número de implantes se elevó a decenas de miles.

Para penetrar en las redes de ordenadores extranjeros y vigilar las comunicaciones que no tienen acceso a través de otros medios, la NSA quería ir más allá de los límites de las señales tradicionales de inteligencia, o SIGINT, el mandato de la agencia para la interceptación de las comunicaciones electrónicas . En su lugar, se procuró ampliar los métodos de vigilancia "activos" - tácticas diseñadas para infiltrarse en los ordenadores directamente de un objetivo o de los dispositivos de red.

En los documentos, la agencia describe técnicas como " un enfoque más agresivo para SIGINT " y dice que la misión de la unidad de TAO es " agresiva escalar " estas operaciones.

Pero la NSA reconoció que la gestión de una red masiva de los implantes es una tarea demasiado grande para los seres humanos por sí solos.


 
" Uno de los mayores desafíos para los activos SIGINT / ataque es la escala ", explica la presentación de alto secreto desde 2009. "La capacidad límite" conductores humanos con fines de explotación a gran escala (los seres humanos tienden a operar dentro de su propio entorno, sin tener en cuenta el panorama general). "

La solución de la agencia fue TURBINA. Desarrollado como parte de la unidad TAO, se describe en los documentos filtrados como un "mando y control de la capacidad inteligente " que permite " la explotación a escala industrial. "

TURBINA fue diseñado para hacer el despliegue de malware mucho más fácil para los hackers de la NSA mediante la reducción de su papel en la supervisión de sus funciones. El sistema " aliviar al usuario de la necesidad de saber / cuidado de los detalles, " Dirección de Tecnología de la NSA señala en un documento secreto de 2009. "Por ejemplo , un usuario debe ser capaz de pedir ' todos los detalles sobre la aplicación X' y no necesita saber cómo y dónde la aplicación mantiene archivos , entradas de registro , los datos de aplicación del usuario , etc. "

En la práctica , esto significaba que TURBINA sería automatizar procesos cruciales que previamente tenían que llevarse a cabo de forma manual - incluyendo la configuración de los implantes , así como la recopilación de vigilancia, o " tareas " de los datos de los sistemas infectados . Pero la automatización de estos procesos se trata de mucho más que un simple tecnicismo. La medida representa un importante cambio táctico dentro de la NSA que se espera que tenga un impacto profundo - que permite a la agencia para empujar hacia adelante en una nueva frontera de las operaciones de vigilancia.

Las ramificaciones son crudamente ilustran en un documento de la NSA de alto secreto , sin fecha , que describe cómo la agencia prevista para TURBINA "aumentar la capacidad actual de implementar y administrar cientos de Red Explotación computadora ( CNE) y el ordenador de intrusiones (CNA) Los implantes potencialmente millones de implantes ". (Minas CNE inteligencia de los ordenadores y redes; CNA pretende alterar, dañar o destruir.)

Con el tiempo, los archivos secretos indican , los planes de la NSA para TURBINA llegaron a buen término. El sistema ha estado en funcionamiento en alguna capacidad, al menos desde julio de 2010, y su papel es cada vez más central en las operaciones de piratería informática de la NSA .

Informes anteriores sobre la base de los archivos Snowden indican que la NSA ya ha desplegado entre 85.000 y 100.000 de sus implantes contra los ordenadores y redes en todo el mundo, con planes de mantener en la ampliación de esos números.


 
De alto secreto " Presupuesto Negro " de la comunidad de inteligencia de 2013, obtenido por Snowden, enumera TURBINA como parte de una iniciativa más amplia de vigilancia de la NSA llamado " Ser propietario de la red. "

La agencia solicitó $ 67.6 millones en fondos de los contribuyentes para su Poseer el programa Net año pasado. Parte del dinero se destinó a TURBINA, ampliar el sistema para incluir " una variedad más amplia " de las redes y " permite una mayor automatización de la explotación de la red informática. "


Sorteando Encryption

La NSA tiene un arsenal diverso de herramientas de malware, cada una altamente sofisticada y personalizables para diferentes propósitos.

Un implante, con nombre en código UNITEDRAKE, se puede usar con una variedad de " plug- ins" que permiten a la agencia para obtener el control total de un equipo infectado.

Un plug-in llamado implante CAPTIVATEDAUDIENCE, por ejemplo, se utiliza para tomar el control del micrófono de una computadora específica y grabar las conversaciones que tienen lugar cerca del dispositivo . Otra, GUMFISH , encubierta puede hacerse cargo de la webcam de un ordenador y encaje fotografías. FOGGYBOTTOM registra registros de historiales de navegación de Internet y recoge datos de acceso y contraseñas utilizadas para acceder a sitios web y cuentas de correo electrónico. GROK se utiliza para registrar las pulsaciones de teclado. Y exfiltrates SALVAGERABBIT de datos desde unidades flash extraíbles que se conectan a un equipo infectado.

Los implantes pueden permitir a la NSA para eludir herramientas de cifrado de protección de la intimidad que se utilizan para navegar por Internet de forma anónima o codificar el contenido de mensajes de correo electrónico a medida que se envían a través de las redes. Eso es porque el malware de la NSA da a la agencia libre acceso a la computadora de un objetivo antes de que el usuario protege sus comunicaciones con cifrado.

No está claro cuántos de los implantes se están desplegando en forma anual o qué variantes de ellos están activos actualmente en los sistemas de computadoras en todo el mundo.

Informes anteriores han alegado que la NSA trabajó con Israel para desarrollar el malware Stuxnet , que fue utilizado para sabotear las instalaciones nucleares iraníes. La agencia también informa, trabajó con Israel para desplegar malware llamado Llama a infiltrarse en los ordenadores y espiar a las comunicaciones en los países en todo el Oriente Medio.

De acuerdo con los archivos de Snowden, la tecnología se ha utilizado para buscar a los sospechosos de terrorismo, así como los individuos considerados por la NSA como " extremista”. Pero el mandato de los hackers de la NSA no se limita a la invasión de los sistemas de los que representan una amenaza para la seguridad nacional.

En un mensaje secreto en un tablero de mensaje interno, un operativo de Señales de la NSA Dirección de Inteligencia describe el uso de los ataques de malware contra los administradores de sistemas que trabajan en los proveedores de telefonía y servicios de Internet extranjeros. Por hackear la computadora de un administrador, la agencia puede tener acceso a las comunicaciones encubiertas que son procesados
​​por su compañía. “Administradores de sistemas son un medio para un fin, " el operativo NSA escribe.




Tácticas similares han sido adoptadas por Gubernamental de Comunicaciones, homólogo británico de la NSA. A medida que el diario alemán Der Spiegel informó en septiembre, el GCHQ hackeado los ordenadores pertenecientes a los ingenieros de redes en Belgacom , el proveedor de telecomunicaciones belga.

La misión, con nombre en código "Operación Socialista, " ha sido diseñado para permitir que el GCHQ para monitorear teléfonos móviles conectados a la red de Belgacom . Los archivos secretos consideran que la misión sea un " éxito", e indican que la agencia no tenía la capacidad de acceder de manera encubierta sistemas de Belgacom por lo menos desde 2010.

La infiltración de las redes de telefonía móvil, sin embargo, no es todo lo que el malware puede ser utilizado para llevar a cabo. La NSA ha adaptado específicamente a algunos de sus implantes de infectar routers de red a gran escala utilizados por los proveedores de servicios de Internet en los países extranjeros. Por comprometer routers - los dispositivos que conectan las redes de ordenadores y paquetes de datos de transporte a través de la Internet - la agencia pueda acceder encubierta para supervisar el tráfico de Internet, grabar las sesiones de navegación de los usuarios, y de interceptar comunicaciones.

Dos implantes la NSA inyecta en los routers de red , HAMMERCHANT y Hammerstein , ayudan a la agencia para interceptar y realizar "ataques " en contra de la explotación de datos que se envía a través de una red privada virtual , una herramienta que utiliza cifrado "túneles" para mejorar la seguridad y privacidad de una sesión de Internet .




Los implantes también rastrear las llamadas telefónicas que se envían por la red a través de Skype y otros programas de voz sobre IP, revelando el nombre de usuario de la persona que realiza la llamada. Si el audio de la conversación de VoIP se envía a través de Internet mediante paquetes no cifrados "en tiempo real Protocolo de transporte", los implantes de forma encubierta pueden grabar los datos de audio y luego devolverlo a la NSA para su análisis.



Pero no todos los implantes de la NSA se utilizan para reunir información de inteligencia, los archivos secretos muestran. A veces, el objetivo de la agencia es la interrupción en lugar de vigilancia. QUANTUMSKY, un pedazo de la NSA de malware desarrollado en el año 2004, se utiliza para bloquear el acceso a determinados objetivos de sitios web. QUANTUMCOPPER, primera prueba en 2008, corrompe las descargas de archivos de un objetivo. Estas dos técnicas de " ataque" se revelan en una lista clasificada que cuenta con nueve NSA herramientas de hacking, seis de los cuales se utilizan para la obtención de información. Sólo uno se utiliza con fines " defensivos" - para proteger las redes del gobierno de Estados Unidos contra las intrusiones.


“Potencial de explotación de masas "


 

Antes de que pueda extraer los datos de un implante, o utilizarlo para atacar un sistema, la NSA debe primero instalar el malware en una computadora o red de destino.


De acuerdo con un documento de alto secreto a partir de 2012, la agencia puede implementar de malware mediante el envío de correos electrónicos no deseados que se dirige engañan a hacer clic en un enlace malicioso. Una vez activado, un " implante puerta trasera" infecta a sus ordenadores en ocho segundos.

Sólo hay un problema con esta táctica, WILLOWVIXEN nombre en código: De acuerdo con los documentos, el método de spam se ha convertido en menos éxito en los últimos años, ya que los usuarios de Internet se han convertido en desconfiar de los correos electrónicos no solicitados y menos propensos a hacer clic en cualquier cosa que parezca sospechosa.

En consecuencia, la NSA ha recurrido a técnicas nuevas y más avanzadas de hacking. Estos incluyen la realización de la llamada " man-in - the-middle " y ataques " man -on-the -side ", que de forma encubierta obligan navegador de Internet de un usuario a la ruta a servidores de un ordenador de la NSA que tratan de infectar con un implante.

Para llevar a cabo un ataque man -on-the - lado, la NSA observa el tráfico de Internet de un destino mediante su red mundial de encubierta " accesos " a los datos a medida que fluye a través de cables de fibra óptica o satélites. Cuando el objetivo se visita una página web que la NSA es capaz de explotar, sensores de vigilancia de la agencia alertan al sistema de turbina, que luego " brotes " paquetes de datos en la dirección IP del equipo de destino dentro de una fracción de segundo.

En una técnica man -on-the - lado, con nombre en código QUANTUMHAND , la agencia se disfraza como un servidor de Facebook falsa. Cuando un objetivo intenta iniciar sesión en el sitio de redes sociales, la NSA transmite paquetes de datos maliciosos que engañan el ordenador del objetivo, haciéndoles creer que están siendo enviados desde el verdadero Facebook . Al ocultar su software malicioso dentro de lo que se ve como una página normal de Facebook, la NSA es capaz de introducirse en el equipo de destino y encubiertamente sifón de datos de su disco duro. Una animación de alto secreto demuestra que la táctica en la acción.






Blaze, el experto en vigilancia de la Universidad de Pennsylvania, dice que el uso potencial de los ataques man-in- the-middle en tal escala "parece muy preocupante. " Tal enfoque implicaría indiscriminadamente monitorear redes enteras en lugar de la orientación individuos sospechosos.

"Lo que plantea una bandera roja para mí es la referencia a« cuellos de botella de la red '", dice. "Ese es el último lugar en que deberíamos estar permitiendo que las agencias de inteligencia para comprometer la infraestructura - porque eso es, por definición, una técnica de vigilancia en masa. "


Para implementar algunos de sus implantes de malware, la NSA explota las vulnerabilidades de seguridad en los navegadores de Internet más utilizados, como Mozilla Firefox e Internet Explorer.

Hackers de la agencia también explotan las debilidades de seguridad en los routers de la red y en los plugins de software populares como Flash y Java para entregar códigos maliciosos en los equipos de destino.

Los implantes se pueden eludir los programas anti -virus, y la NSA ha ido hasta el extremo de asegurar que su tecnología clandestina es extremadamente difícil de detectar. Un implante llamado VALIDADOR, utilizado por la NSA para cargar y descargar datos ay desde una máquina infectada, se puede ajustar a la autodestrucción - supresión de sí mismo de un equipo infectado después de un tiempo establecido expira.

En muchos casos, los cortafuegos y otras medidas de seguridad no parecen suponer tanto un obstáculo para la NSA. De hecho, los hackers de la agencia parecen confiados en su capacidad para eludir cualquier mecanismo de seguridad que se interpone entre ellos y poner en peligro un equipo o red. “Si podemos conseguir el objetivo que nos visite en una especie de navegador web, es probable que podamos poseer ellos", un hacker agencia cuenta en un solo documento secreto. “La única limitación es el 'cómo '".


Infraestructura Covert

El sistema de implantes turbina no funciona de manera aislada.

Está vinculado a, y se basa en una amplia red de vigilancia "sensores" clandestinos que la agencia ha instalado en lugares de todo el mundo.



La sede de la NSA en Maryland son parte de esta red, como son bases de espionaje utilizados por la agencia en Misawa , Japón y Menwith Hill, Inglaterra.

Los sensores, TURMOIL nombre en código, funcionan como una especie de alta tecnología de vigilancia redada, seguimiento de paquetes de datos que se envían a través de Internet.

Cuando los implantes TURBINA exfiltrate datos de los sistemas informáticos infectados, los sensores de agitación identifican automáticamente los datos y volver a la NSA para su análisis. Y cuando los objetivos se están comunicando, el sistema TURMOIL se puede utilizar para enviar alertas o "consejos" a la turbina, lo que permite el inicio de un ataque de malware.

La NSA identifica objetivos de vigilancia basados
​​en una serie de "selectores" de datos a medida que fluyen a través de los cables de internet. Estos selectores, según documentos internos, pueden incluir direcciones de correo electrónico, direcciones IP, o las "cookies" únicas que contienen un nombre de usuario u otra información de identificación que se envían a la computadora del usuario por sitios web como Google, Facebook, Hotmail, Yahoo y Twitter.

Otros selectores de los usos de la NSA se puede extraer a partir únicas cookies de publicidad de Google que rastrean los hábitos de navegación , huellas dactilares única clave de cifrado que se pueden remontar a un usuario concreto e identificadores informáticos que se envían a través de Internet cuando se bloquea un o actualizaciones para la computadora Windows.



Lo que es más, el sistema de la turbina opera con el conocimiento y el apoyo de otros gobiernos, algunos de los cuales han participado en los ataques de malware.

Marcas de clasificación de los documentos Snowden indican que la NSA ha compartido muchos de sus archivos en el uso de los implantes con sus contrapartes en el llamado Cinco Ojos Vigilancia de la Alianza - el Reino Unido, Canadá , Nueva Zelanda y Australia .

GCHQ , la agencia británica , ha asumido un papel particularmente importante en ayudar a desarrollar las tácticas de malware. La base de espionaje por satélite Menwith Hill, que forma parte de la red TURMOIL , ubicada en una zona rural del norte de Inglaterra , es operado por la NSA en estrecha cooperación con el GCHQ .

Documentos secretos muestran que la base británica - que hace referencia la NSA como " MHS " para la estación de la colina de Menwith - es un componente integral de la infraestructura de malware turbina y se ha utilizado para experimentar con implantes ataques de " explotación " en contra de los usuarios de Yahoo y Hotmail.

En un documento fechado en 2010, al menos cinco variantes del método de hacking QUANTUM fueron listadas como " operativa" en Menwith Hill. El mismo documento también revela que el GCHQ ayudó a integrar tres de las capacidades de malware QUANTUM - y prueba otros dos - como parte de un sistema de vigilancia que opera Insenser nombre en código.

GCHQ cooperó con los ataques de piratas informáticos a pesar de tener reservas en cuanto a su legalidad. Uno de los archivos Snowden, previamente divulgadas por la televisión sueca SVT , reveló que recientemente, en abril de 2013, el GCHQ fue aparentemente reacios a involucrarse en la implementación de malware QUANTUM debido a "restricciones legales / políticas. " Un representante de una unidad de la británica organismo de vigilancia, reunión con un comité de normas de telecomunicaciones oscuro en 2010 , expresó su preocupación de que por separado la realización de ataques de "activos" de hacking para la vigilancia " puede ser ilegal " bajo la ley británica.

En respuesta a las preguntas de la intersección, el GCHQ se negó a comentar sobre su participación en las operaciones de piratería encubierta. Citando su respuesta estándar a las preguntas, dijo la agencia en un comunicado que " todo el trabajo de GCHQ se lleva a cabo de acuerdo con un estricto marco jurídico y normativo que garantiza que nuestras actividades están autorizadas, necesarias y proporcionadas, y que no existe una supervisión rigurosa. "

Sean cuales sean los aspectos legales del Reino Unido y de Estados Unidos que se infiltran las redes de ordenadores, los archivos Snowden traer al primer plano de las implicaciones más amplias. Al amparo del secreto y sin debate público, ha habido una proliferación sin precedentes de las técnicas de vigilancia agresivos. Una de las principales preocupaciones de la NSA, de hecho, parece ser que sus tácticas clandestinas ahora están siendo adoptadas por los rivales extranjeros, también.

"Hacking routers ha sido un buen negocio para nosotros y nuestros 5 -ojos socios desde hace algún tiempo ", señala un analista de la NSA en un documento de alto secreto con fecha de diciembre de 2012. " Pero cada vez es más evidente que otros Estados-nación están perfeccionando sus Skillz [sic] y unirse a la escena. "



Documents published with this article:



No hay comentarios:

Publicar un comentario

SOL AHIMSA

CLAUDIA GONZALEZ DE VICENSO

CLAUDIA GONZALEZ DE VICENSO
ENLACE