WikiLeaks publica la Guía para el Implante de Linux “Aeris”

WikiLeaks es bastante estable en la publicación de documentos conocidos como filtraciones de "Vault 7", y ahora se ha publicado documentación sobre una herramienta conocida como "Aeris" que apunta específicamente a los sistemas POSIX, como un par de distribuciones GNU/Linux.

La información sobre el proyecto de la CIA "Imperial" se publicó ayer en WikiLeaks.

Aeris es un implante automatizado escrito en C que admite varios sistemas basados ​​en POSIX (Debian, RHEL, Solaris, FreeBSD, CentOS). Es compatible con el filtrado de archivos automatizado, el intervalo personalizable y la fluctuación de la baliza, la compatibilidad con HTTPS LP independiente y la compatibilidad con SMTP basado en colisiones y la compatibilidad con SMTP, todo con conexiones TLS cifradas con autenticación mutua.

Cumple con la especificación criptográfica NOD y proporciona comandos y controles estructurados similares a los utilizados por varios implantes de Windows.

Sin embargo, este artículo se centrará en Aeris.

¿Qué es?

guía de usuario de aeris

Aeris parece ser un implante diseñado para permitir que un agente recupere y envíe información sobre un sistema infectado a través de canales TLS cifrados.

Hay varias formas de transmitir información, como los sistemas de correo como Postfix, que permiten a un agente enviar información fuertemente encriptada a un destino de una manera prácticamente no intrusiva utilizando el cifrado AES256.

¿Qué sistemas están dirigidos?

  • Debian Linux 7 (i386)
  • Debian Linux 7 (amd64)
  • Debian Linux 7 (ARM)
  • Red Hat Enterprise Linux 6 (i386)
  • Red Hat Enterprise Linux 6 (amd64)
  • Solaris 11 (i386)
  • Solaris 11 (SPARC)
  • FreeBSD 8 (i386)
  • FreeBSD 8 (amd64)
  • CentOS 5.3 (i386)
  • CentOS 5.7 (i386)

La distribución de Aeris consta de un conjunto de utilidades de Python y un conjunto de archivos binarios, uno en cada plataforma diseñada para Aeris.

Aeris no tiene un instalador independiente. Para implementarlo, simplemente coloque el archivo binario de Aeris en el archivo
directorio deseado. Cambie el nombre del archivo binario de la forma que desee. Tenga en cuenta que la configuración
sellado durante el montaje; por lo tanto, no hay archivos adicionales (excepto posiblemente relacionados con
persistencia - ver Siguiente sección).

¿Y qué?

Si bien muchas personas pueden ver esto a nivel político o sobre el tema de la privacidad, etc., lo veo en términos de seguridad en el futuro.

En el pasado, el malware que creaba problemas para el público en general se basaba en el malware del gobierno; por ejemplo, por ejemplo, WannaCry. WannaCry se basó originalmente en EternalBlue y muchos lo atribuyen a la NSA.

Con el lanzamiento de esta información sobre Aeris, me preocupa que black-hat (léase: hackers malos) pueda tener en sus manos / desarrollar algo similar y usar los métodos descritos en la documentación es dañino.

Sin embargo, dicho esto, la mayoría de los usuarios domésticos no tendrán que preocuparse si el servidor no tiene motivos para ser atacado; de nuevo, no te preocupes. ¡Pero educarse sobre un tema nunca es malo!

Oh ...

La guía tiene una parte bastante divertida de un párrafo que pensé que podría señalar:

Cada instancia del implante tiene un centro de certificación único asociado. La clave privada de la CA se utiliza para firmar el certificado del implante así como los certificados de cada LP asociada al implante en cuestión.

Si alguien lee este párrafo, es elegible para un pequeño premio en efectivo del liderazgo del equipo de Aeris. Los datos recopilados por los implantes no se pueden descifrar sin una clave de CA privada; por lo tanto, esta clave se considera SECRET // NOFORN y debe almacenarse en una red secreta. Todas las claves y certificados (CA, destino y LP) tienen un tamaño de 2048 bits.

Observaciones finales

A mucha gente le gusta pensar que los sistemas GNU/Linux son invencibles, y que con solo ejecutar un sistema basado en Linux, estás completamente a salvo de malware y similares; estos comunicados son solo una prueba más de que este no es el caso; ¡Esperemos que más usuarios malintencionados no intenten aprovechar estas nuevas herramientas!

Para aquellos que deseen leer información sobre Aeris, pueden encontrar la guía aquí (PDF).

Artículos de interés

Subir