publicación compartida anónima por parte de la plataforma videoproaranet descargar  y publicada en https://wikileaks.org/

Colmena

9 de noviembre de 2017

Hoy, 9 de noviembre de 2017, WikiLeaks publica el código fuente y los registros de desarrollo de Hive, un componente importante de la infraestructura de la CIA para controlar su malware.

Hive resuelve un problema crítico para los operadores de malware de la CIA. Incluso el implante de malware más sofisticado en un ordenador objetivo es inútil si no hay forma de que se comunique con sus operadores de una manera segura que no llame la atención. Usando Hive, incluso si se descubre un implante en una computadora objetivo, atribuirlo a la CIA es difícil con solo mirar la comunicación del malware con otros servidores en Internet. Hive proporciona una plataforma de comunicaciones encubierta para toda una gama de malware de la CIA para enviar información exfiltrada a los servidores de la CIA y recibir nuevas instrucciones de los operadores de la CIA.

Hive puede servir múltiples operaciones utilizando múltiples implantes en computadoras de destino. Cada operación registra de forma anónima al menos un dominio de cobertura (por ejemplo, "perfectly-boring-looking-domain.com") para su propio uso. El servidor que ejecuta el sitio web del dominio se alquila a proveedores de alojamiento comercial como un VPS (servidor privado virtual) y su software se personaliza de acuerdo con las especificaciones de la CIA. Estos servidores son el lado de cara al público de la infraestructura de back-end de la CIA y actúan como un relé para el tráfico HTTP(S) a través de una conexión VPN a un servidor "oculto" de la CIA llamado "Blot".

Documentos filtrados

Repositorio de colmena

Historial de Commit de Hive

El dominio de portada ofrece contenido "inocente" si alguien lo navega por casualidad. Un visitante no sospechará que es otra cosa que no sea un sitio web normal. La única peculiaridad no es visible para los usuarios no técnicos: una opción de servidor HTTPS que no se usa ampliamente: Autenticación de cliente opcional. Pero Hive utiliza la inusual autenticación opcional del cliente para que el usuario que navega por el sitio web no esté obligado a autenticarse, es opcional. Pero los implantes que hablan con Hive se autentican a sí mismos y, por lo tanto, pueden ser detectados por el servidor Blot. El tráfico de los implantes se envía a una puerta de enlace de gestión del operador de implantes llamada Honeycomb (ver gráfico anterior), mientras que todo el resto del tráfico va a un servidor de cobertura que entrega el contenido sospechoso para todos los demás usuarios.

Los certificados digitales para la autenticación de implantes son generados por la CIA haciéndose pasar por entidades existentes. Los tres ejemplos incluidos en el código fuente crean un certificado falso para la empresa antivirus Kaspersky Laboratory, Moscú, que pretende estar firmado por Thawte Premium Server CA, Ciudad del Cabo. De esta manera, si la organización objetivo observa el tráfico de red que sale de su red, es probable que atribuya erróneamente la exfiltración de datos de la CIA a entidades no involucradas cuyas identidades han sido suplantadas.

La documentación de Hive está disponible en la serie WikiLeaks Vault7.