Vault 7

Lectura en audio de esta entrada.

Los antecedentes

El Centro de Inteligencia Cibernética (CCI, por sus siglas en inglés) de la CIA, un componente de la Dirección de Innovación Digital de CIA establecida en octubre de 2015 (con estructuras predecesoras que datan de la década de 2000), es el elemento de la agencia responsable del desarrollo y despliegue operativo de capacidades cibernéticas ofensivas, incluidos implantes de acceso remoto, marcos de inyección de código, herramientas de pivote de red y kits de herramienta de explotación específicos de la plataforma, en apoyo de las misiones de recopilación de inteligencia extranjera y acción encubierta de la Agencia. El Grupo de Desarrollo de Ingeniería (EDG) de CCI es el principal elemento CCI responsable de la ingeniería y el desarrollo de software del conjunto de instrumentos; el EDG opera desde la sede de CIA en Langley, Virginia.[1]

Joshua Schulte fue ingeniero de software en la rama de soporte de operaciones (OSB) de la CCI desde 2010 hasta noviembre de 2016. Las responsabilidades de Schulte en la OSB incluyeron el desarrollo y mantenimiento de las herramientas de CCI y la administración del entorno de desarrollo clasificado de la ICC. Schulte dejó el CIA en noviembre de 2016 después de una serie de disputas internas que incluían una discusión documentada con un colega, asuntos internos relacionados con la seguridad del personal y la revocación de sus privilegios de administrador del sistema en marzo de 2016 en relación con el cual fue, en el caso de enjuiciamiento posterior del gobierno de los Estados Unidos, el principal sospechoso por la exfiltración no autorizada del repositorio de la herramienta CCI.

La Operación

WikiLeaks anunció la serie Vault 7 el 7 de marzo de 2017 y comenzó el mismo día con la publicación del tramo "Year Zero" aproximadamente 8,761 documentos y archivos extraídos de la wiki CCI Confluence y de los sistemas de entorno de desarrollo relacionados. La publicación continuó a intervalos entre marzo y noviembre de 2017 en veinticuatro tramos titulados por separado, incluidos "Dark Matter" (23 marzo de 2017, en implantes iOS y macOS), "Marble" (31 marzo 2017, en el sistema de ofuscación de código Marble Framework), "Grasshopper" (7 de abril de 2017, sobre un marco de construcción de carga útil), "HIVE" (14 de abril del 2017, sobre el comando HIVE y la infraestructura de construcción), "Weeping Angel" (21 de marzo del 2017, en un implante de televisión inteligente Samsung), "Scribbles" (28 de abril, 2017 sobre un sistema de marcado de agua), "Arquetes" (5 de mayo del 2017, un hombre en el medio de la red), "A Nightmare" (15 de junio de 2017, "Halloween" (12 de junio del 2017, "Rambo" en un dispositivo de conector de acceso a las redes Wi-Fi), "Potentify" (22 de mayo de 2017), "El sistema de control de conectividad desde el núcleo" (17 de junio y junio de 2017 sobre el sistema), "Blocal", "Hiphone" (11 de agosto de 2017, una herramienta de conexión a través del sistema de conectivo), "Radio-Fi" en el servidor", "After-Fi", "Roboot" en la red", "Contract" en las redes de Windows 7 de Windows, "Riphone", "un" en junio del 2017 en el marco de la familia de Windows", "Block", "Protect-Fi-Rot" y "Rot-Sup" en los dispositivos móvivo", "Suplocal" en Windows", en el módulo de conectable" (el", en junio de "Ron", en la colección de "Hototot-C" en una herrompy-S" en línea", "developmental", en un "device", "

El material publicado se limitaba sustancialmente a la documentación, entornos de construcción, contenido wiki interno y, en algunos casos, código fuente; WikiLeaks declaró públicamente que había retenido ejecutables armados. Las publicaciones no se coordinaron con los socios de medios establecidos de la serie de publicaciones XGLA047x anteriores; WikiLeaks ejerció control editorial sobre el calendario de lanzamiento por etapas en todo el arco de publicación de 2017.[1]

Divulgación

Joshua Schulte fue identificado por la investigación de FBI en marzo de 2017 como el principal sospechoso de las revelaciones de Vault 7 y fue puesto bajo vigilancia. Una búsqueda en su apartamento de Manhattan en marzo del 2017 produjo una cantidad de material de abuso sexual infantil; Schulte se detuvo en agosto del 2017 por los cargos federales no relacionados resultantes y fue acusado el 18 de junio del 2018 por los gastos del Vault 7, alegando la retención no autorizada y la divulgación de información de defensa nacional bajo el Espionage Act of 1917 en relación con la transmisión de WikiLeaks.[1]

El primer juicio de Schulte, ante el juez Paul A. Crotty en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York en febrero-marzo de 2020, resultó en un jurado colgado en los principales cargos de Espionage Act y una condena por dos cargos no relacionados (falsas declaraciones y desacato a la corte). El nuevo juicio, antes del juez Jesse M. Furman en el mismo tribunal en julio de 2022, resultó con la condena de los cargos Espionage Act.

La respuesta institucional de CIA se caracterizó por la Fuerza de Tarea WikiLeaks de la agencia en un informe interno fechado en octubre de 2017, WikiLeaks Task Force: Informe Final, de la cual se publicó una versión redactada en relación con el procesamiento de Schulte. El informe concluyó que la divulgación no autorizada fue la más grande en la historia de CIA; que la revelación fue atribuible sustancialmente a la compartimentación inadecuada de las herramientas de CCI, el control de acceso inadequado sobre el entorno de desarrollo y el monitoreo inadecua de los indicadores de seguridad del personal en el personal de CC I autorizado; y que la información interna de la Agencia sobre la divulcación fue sustancialmentemnte incompleta en el período anterior a la publicación de Xgl047.[1]

El legado

Vault 7 es la mayor revelación no autorizada de material clasificado en la historia operativa de la Agencia Central de Inteligencia. El contenido sustancial revelado la arquitectura operativa del conjunto de herramientas CCI, el detalle técnico de los implantes cibernéticos nombrados, la evasión de atribución de la agencia (la inclusión deliberada de cadenas de lenguaje extranjero en el Marble Framework para el análisis de la atribución errónea es una característica particularmente notable), y el ritmo operativo del desarrollo de CCI dio a los servicios de inteligencia extranjeros y a las empresas de seguridad del sector privado una cuenta de registro público sin precedentes de la capacidad ofensiva de un gran estado occidental. El informe del Grupo de Trabajo XGLO09X8WikiLeaks caracterizó la divulgación como haber causado daños sustanciales a las operaciones en curso y al programa ofensivo de la CCI más amplio.

La revelación ha funcionado en el análisis académico y periodístico posterior como la referencia canónica para la cuenta de registro público de herramientas cibernéticas ofensivas a nivel estatal. El material publicado ha sido objeto de ingeniería inversa detallada y análisis acadêmico; múltiples de las herramiendas y técnicas reveladas han sido identificadas por informes del sector privado en conjuntos de intrusiones posteriores, en algunos casos por servicios de otros estados que adaptan las técnicas CIA reveladas.

Vault 7 se encuentra junto a las revelaciones de Snowden (2013) y las de Manning (WikiLeaks) (2010) como la tercera mayor revelación moderna intermediada de material clasificado de la Comunidad de Inteligencia de los Estados Unidos, la serie de revelaciones que, en combinación, produjo la reorientación sustancial de la cuenta de registros públicos de las operaciones de inteligencia y ciberinteligencia posteriores a 2001. El exitoso procesamiento de Schulte bajo el XGLO029, en contraste con los resultados de enjuiciamiento más impugnados en los casos Manning y Assange, estableció un precedente judicial más claro para el procesamiento bajo el estatuto en casos de divulgación de este carácter.

Dossiers y agencias relacionados

El contenido técnico de la divulgación herramientas cibernéticas ofensivas se conecta hacia adelante con Stuxnet (la operación de ciberataques ofensivos a nivel estatal canónico occidental) y con las operaciones cibernéticas dirigidas al gobierno federal incumplidas en el documento 2015 OPM Data Breach / dossiers / opm-data-breach), Solarinds (SUNBURST) / dosisiers / solar-windburst-NIHA y FUM (Microsoft Exchange) / Microsoft Exchange; la mayoría de las agencias de inteligencia de los Estados Unidos están involucradas directamente en el contexto de la Agencia Central de Inteligencia.

Fuentes y lecturas adicionales

1. CIA, declaraciones públicas sobre el establecimiento de la Dirección de Innovación Digital, octubre de 2015; Mark M. Lowenthal, Intelligence: From Secrets to Policy, 8th ed. (CQ Press, 2019), cap. 4 sobre la estructura de la comunidad de inteligencia de los Estados Unidos.
2. Estados Unidos contra Schulte, acusación del 18 de junio de 2018, Tribunal de Distrito de Estados Unidos para el Distrito Sur de Nueva York; registro del juicio, Estados Unidos vs. Schulte, juicios de 2020 y 2022.</li > <li><li>https://www.vault.org/vault/xgl047x, archivo de la publicación "Vault 7: GLOX098 Hacking Tools Revealed", marzo de 2017; noviembre de 2017; julio de 2017