Grasshopper: así hackeó la CIA los equipos con Windows

Grasshopper es un marco utilizado por la CIA para programar herramientas de software con el objetivo de introducir malware, espiar y controlar equipos con sistema operativo Windows.

Grasshopper forma parte del último lote de documentos publicados por Wikileaks bajo la filtración que lleva por nombre Vault 7 y que fue obtenida desde la red de alta seguridad situada en el Centro de Inteligencia Cibernética de la CIA en Langley, Virginia.

Un ciberejército de hackers (más de 5.000, según Wikileaks), bajo el paraguas legal del grupo especializado EDG (Engineering Development Group), estarían dedicados a insertar malware y preparar exploits para espiar y en algunos casos controlar totalmente los dispositivos electrónicos más populares del mercado.

Desde smartphones con Android, productos de redes como routers, medios de almacenamiento como discos duros o televisores inteligentes, iPhone y Mac con hackeo incluido en el firmware, y cómo no, ordenadores personales con Windows.

Grasshopper fue la herramienta general para la creación de cargas de malware personalizadas de todo tipo, que habría afectado a cualquier versión del sistema operativo Windows, reinstalándose cada 22 horas y sin detección posible por ninguna solución de seguridad cliente. La filtración incluye documentos técnicos para evadir la protección de Windows Defender, Symantec y Kaspersky Lab.

También de interés la aparición en la documentación de Carberp, un potente malware bancario que salió a la luz en 2013 y que pudo haber sido preparado originalmente o modificado por algunas de las divisiones de este ciberejército, como las dos últimas conocidas: AED y RDB, abreviaturas para «División de Ingeniería Avanzada» y «Rama de Desarrollo remota», respectivamente.

Los expertos en seguridad advirtieron que el rootkit Carberp era similar a entregar un bazooka a un niño, tal era la potencia del desarrollo.

¿Qué impacto tiene actualmente Grasshopper?

Los documentos publicados sobre Grasshopper parecen haber sido escrito entre 2012 y 2014 por lo que es probable que las vulnerabilidades utilizadas hayan sido parcheadas. Microsoft ha comentado que la información «no tiene ningún impacto sobre los sistemas modernos» y recomiendan la actualización de sistemas a las últimas versiones.

Todas las grandes tecnológicas han asegurado que la mayoría de vulnerabilidades recogidas en la documentación que está publicando Wikileaks ya han sido parcheadas y por supuesto, han vuelto a negar cualquier tipo de connivencia con los manejos de la CIA, lo mismo que comentaron del programa PRISM de la NSA.

Es probable que las vulnerabilidades comentadas hayan sido parcheadas, pero ¿y hasta entonces? Además, es seguro que se están explotando otras en la ciberguerra fría en la que nos encontramos.