WikiLeaks demuestra que la CIA infectaba Windows con malware

El proyecto Angelfire de la CIA afecta a Windows XP y a Windows 7.

CIA

WikiLeaks acaba de revelar otro proyecto secreto de la CIA, cuya finalidad era la de infectar ordenadores que usasen el sistema operativo Windows, al inyectar malware en el sector de arranque del sistema operativo, lo que les permitía introducir payloads más adelante. El nombre del este proyecto es Angelfire, y consiste en 5 herramientas de hacking diferentes, dirigidas a los sistemas operativos Windows XP y Windows 7. La primera de estas herramientas se llama Solartime, y es un malware cuya finalidad es la de modificar el sector de arranque para introducir un segundo módulo, llamado Wolfcreek. Wolfcreek consiste en una serie de drivers que permiten a la CIA introducir otros payloads en el sistema, ya sean drivers o aplicaciones.

wikileaks

El tercero de estos cinco componentes se llama Keystone, y es un malware introducido específicamente por la propia CIA, ya que permite a sus agentes introducir más malware en los sistemas infectados; y la cuarta de estas herramientas se llama BadMFS y consiste en un sistema de archivos que hace que las herramientas anteriores se mantengan encriptadas y ofuscadas, para burlar los antivirus.

Por último está la herramienta Windows Transitory File System, que según WikiLeaks ha sido diseñada como alternativa a BadMFS; así, la CIA contaba con dos formas de proteger su malware en el dispositivo de la víctima.

El malware es bastante fácil de detectar

WikiLeaks ha explicado también que a pesar de la complejidad de los componentes del proyecto Angelfire, es bastante sencillo descubrir estas herramientas, debido a la información de los manuales filtrados de la CIA. Por ejemplo, Keystone se hace pasar por una copia de svchost.exe y siempre se esconde en la carpeta system32, así que si tenéis instalado el sistema operativo en una partición diferente, podréis detectar la anomalía de forma sencilla.

Otro ejemplo es BadMFS, el cual crea un archivo llamado zf. Así que si veis un archivo con ese nombre y no lo habéis creado vosotros, estáis infectados.

Dejar respuesta