Segurança > Privacidade

WikiLeaks revela como CIA mascarava malware

Novos documentos mostram 'técnicas de ofuscação' supostamente usadas pela agência de inteligência americana no ano passado

04 de Abril de 2017 - 17h59

O WikiLeaks desferiu um novo golpe às operações de ciberespionagem da CIA ao liberar arquivos que alegadamente mostram como a agência estava mascarando seus ataques com malware. Na sexta-feira passada, 31 de março, o site publicou o código-fonte para o Marble Framework, um conjunto de ferramentas anti-forense que o WikiLeaks afirma ter sido usado pela CIA no ano passado.

Os arquivos parecem, de fato, apresentar “técnicas de ofuscação” que conseguem esconder código malicioso desenvolvido pela CIA, evitando sua detecção, disse Jake Williams, um pesquisador de segurança da Rendition InfoSec, que tem examinado os arquivos. 

Hackers, dos patrocinados pelo governo aos amadores, usam suas próprias técnicas de ofuscação ao desenvolver um malware, explica Williams.

Mas agora, graças ao WikiLeaks, alguns dos métodos da CIA estão agora públicos. Segundo Williams, os pesquisadores de segurança terão agora um recurso para identificar se as amostras de malware do passado têm qualquer vínculo com a agência de espionagem dos EUA.

O WikiLeaks também diz o mesmo. Mas a organização está chegando a outra conclusão com o código fonte: que a CIA pode enquadrar outros países para seus ataques de malware, uma vez que o WiliLeaks aponta como as ferramentas anti-forense da CIA suportam outras línguas como o chinês, russo, coreano, árabe e persa. "Isso permitiria um duplo jogo de atribuição forense", disse o Wikileaks.

Os pesquisadores de segurança, por exemplo, poderiam mal atribuir o malware desenvolvido pela CIA a outros países, ao notar que o mesmo contém línguas estrangeiras.

Mas Williams não compra essa conclusão. "Isso é ridículo", disse ele. "É totalmente impreciso".

As ferramentas anti-forense são realmente projetadas para ocultar a presença de código de computador escrito em línguas estrangeiras, não revelá-las, ressalta Williams.

Isso é importante porque a agência provavelmente tinha como alvo computadores da Rússia ou China. Para cortar esses sistemas, a CIA provavelmente precisava incluir algum idioma russo ou chinês no malware. 

"Mas se você não ofusca isso, qualquer um que esteja olhando seu malware saberá que você está tentando roubar suas coisas", ressalta Williams.

Não é a primeira vez que o WikiLeaks fez afirmações que foram posteriormente questionadas. 

Pesquisadores de segurança criticaram o site por exagerar as capacidades de hacking da CIA desde que o WikiLeaks começou a despejar ferramentas supostamente retiradas da agência.

Quanto à CIA, a agência não teceu nenhum comentário sobre o código fonte publicado na sexta-feira. Mas supondo que os arquivos sejam reais, pesquisadores de segurança dizem que provavelmente interromperão os esforços de espionagem da agência.

"Estas é uma das publicações mais prejudiciais já feita pelo WikiLeaks", tuitou Nicholas Weaver, um pesquisador do Instituto Internacional de Ciência da Computação da Universidade da Califórnia Berkeley.

Além disso, os hackers poderão aprender com o código-fonte revelando para ofuscar seu próprio malware. "Agora qualquer um pode criar malware que parece ter vindo da CIA", disse Williams.