Cuando los cortafuegos, los servicios de monitorización de la red y el software antivirus no son suficientes, siempre ha habido una forma segura de proteger los ordenadores que controlan operaciones sensibles como las redes eléctricas y las bombas de agua: aislarlos completamente de Internet. Pero los nuevos documentos publicados por WikiLeaks el 22 de junio sugieren que, incluso cuando se toman estas medidas extremas, ningún ordenador está a salvo de hackers motivados y con buenos recursos.

Los 11 documentos describen un software llamado «Brutal Kangaroo», un conjunto de herramientas creadas para infiltrarse en ordenadores aislados y con «air-gapping» apuntando a redes conectadas a Internet dentro de la misma organización. Se trata de la última publicación de la serie de documentos filtrados «Vault 7», que describen una miríada de herramientas de piratería informática que, según WikiLeaks, pertenecen a la Agencia Central de Inteligencia (CIA) de Estados Unidos.

Brutal Kangaroo funciona creando una ruta digital desde un atacante hasta un ordenador con acceso aéreo y viceversa. El proceso comienza cuando un pirata informático infecta de forma remota un ordenador conectado a Internet en la organización o instalación a la que se dirige. Una vez que ha infectado ese primer ordenador, lo que los documentos denominan «host primario», Brutal Kangaroo espera. No puede propagarse a otros sistemas hasta que alguien conecte una unidad USB a ese primero.

WikiLeaks

«Emotional Simian», una herramienta para empaquetar malware descrita en los documentos de Brutal Kangaroo

Una vez que alguien lo hace, el malware específico para la marca y el modelo de la unidad USB se copia en ella, ocultándose en archivos LNK modificados que Microsoft Windows utiliza para representar los iconos del escritorio, y en archivos DLL que contienen programas ejecutables. A partir de este punto, Brutal Kangaroo propagará más malware a cualquier sistema al que se conecte esa unidad de disco duro. Y esos sistemas infectarán todas las unidades que se conecten a ellos, y así sucesivamente, y la idea es que, finalmente, una de esas unidades se conectará al ordenador aislado por aire.

El principal defecto del concepto de aislar los ordenadores sensibles es que el espacio de aire que los rodea sólo puede mantenerse si nadie necesita copiar archivos en ellos o fuera de ellos. Pero incluso en el caso de los sistemas especializados, siempre hay actualizaciones y parches que instalar, e información que hay que introducir o extraer. Los especialistas en TI saben que los discos duros externos son un objetivo obvio para cualquiera que quiera romper el espacio aéreo, y es de suponer que se tomen precauciones en las instalaciones con especialistas en TI diligentes. Esas precauciones, sin embargo, pueden ser subvertidas con la explotación de oscuras vulnerabilidades, y a veces los errores simplemente ocurren.

Si una unidad de disco duro infectada con Brutal Kangaroo se conecta a un ordenador con air-gap, se copia inmediatamente en él. Si un usuario intenta navegar por el contenido de la unidad infectada en ese ordenador, se activará un malware adicional que recogerá datos del ordenador. A medida que los usuarios sigan conectando la unidad a ordenadores conectados y desconectados, se formará un relé, creando en última instancia una lenta ruta de vuelta al hacker, a través de la cual se entregarán los datos copiados del ordenador con trampa de aire si todo va según el plan.

Muchos de los detalles descritos en los documentos de Brutal Kangaroo han atraído comparaciones con Stuxnet, el poderoso malware supuestamente desarrollado por EE.UU. e Israel para sabotear el programa nuclear de Irán. Stuxnet se creó específicamente para atacar a los ordenadores que controlaban las centrifugadoras de una instalación nuclear iraní. En ese caso, los atacantes no apuntaron a una red conectada a Internet dentro de la instalación nuclear, presumiblemente porque no había ninguna, sino que apuntaron a cinco organizaciones externas, según un informe de 2014 en Wired. A partir de ahí, sin embargo, el ataque funcionó de forma muy parecida a los métodos descritos en los documentos de Brutal Kangaroo: Stuxnet también se propagó a través de unidades de memoria USB, se escondió en archivos LNK e intentó crear un relé para enviar información a los atacantes.

Stuxnet fue finalmente descubierto por los investigadores de seguridad porque era demasiado potente, y se propagó a muchos más ordenadores de los que aparentemente querían sus creadores. Los desarrolladores de Brutal Kangaroo parecen haber tomado una lección de eso, y describieron varias comprobaciones en sus documentos que impedirán que se propague si se cumplen ciertos factores. Cada vez que llega a un nuevo ordenador, Brutal Kangaroo comprueba primero la fecha del ordenador. Si la fecha es posterior a la codificada en el malware, «el programa saldrá inmediatamente», según los documentos. También comprueba una especie de «lista negra» y sale si el ordenador está en ella. También saldrá de Brutal Kangaroo «si el ordenador ha sido visto antes».

Los documentos de Brutal Kangaroo son sólo la última revelación sobre lo que los hackers de la CIA son supuestamente capaces de hacer. Las publicaciones anteriores de Vault 7 han incluido documentos que sugieren que la agencia puede convertir los televisores inteligentes en dispositivos de escucha, hackear varios sistemas operativos de ordenadores de sobremesa y móviles, y monitorizar el tráfico de Internet irrumpiendo en los routers wifi domésticos. En abril, Symantec comparó varias herramientas descritas en las publicaciones con un software invasivo que había estado rastreando desde 2014. Ese malware había infectado al menos a 40 objetivos en 16 países desde 2011, dijo la compañía en un blog, y posiblemente estaba activo desde 2007.

La CIA no ha confirmado su propiedad de los documentos o las herramientas, pero como señaló Motherboard el pasado mes de marzo, los funcionarios estadounidenses dijeron en los tribunales que los documentos contienen información clasificada, lo que sugiere que las filtraciones son de hecho auténticas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.