Quando i firewall, i servizi di monitoraggio della rete e i software antivirus non sono sufficienti, c’è sempre stato un modo sicuro per proteggere i computer che controllano operazioni sensibili come le reti elettriche e le pompe dell’acqua: tagliarli fuori da internet completamente. Ma nuovi documenti pubblicati da WikiLeaks il 22 giugno suggeriscono che anche quando tali misure estreme sono prese, nessun computer è al sicuro da hacker motivati e ben finanziati.

Gli 11 documenti descrivono un pezzo di software chiamato “Brutal Kangaroo,” un insieme di strumenti costruiti per infiltrarsi in computer isolati, “air-gapped” prendendo di mira le reti collegate a internet all’interno della stessa organizzazione. E’ l’ultima pubblicazione della serie di documenti trapelati “Vault 7”, che descrivono una miriade di strumenti di hacking che WikiLeaks dice appartenere alla Central Intelligence Agency (CIA) degli Stati Uniti.

Brutal Kangaroo funziona creando un percorso digitale da un attaccante a un computer air-gapped e ritorno. Il processo inizia quando un hacker infetta da remoto un computer connesso a Internet nell’organizzazione o nella struttura presa di mira. Una volta che ha infettato quel primo computer, quello che i documenti chiamano “host primario”, Brutal Kangaroo aspetta. Non può diffondersi ad altri sistemi finché qualcuno non inserisce una chiavetta USB nel primo.

WikiLeaks

“Emotional Simian”, uno strumento per confezionare il malware descritto nei documenti di Brutal Kangaroo

Una volta che qualcuno lo fa, il malware specifico per la marca e il modello della chiavetta viene copiato su di essa, nascondendosi nei file LNK modificati che Microsoft Windows utilizza per rendere le icone del desktop, e nei file DLL che contengono programmi eseguibili. Da questo punto, Brutal Kangaroo diffonderà ulteriore malware a qualsiasi sistema in cui la chiavetta è collegata. E quei sistemi infetteranno ogni unità collegata, e così via, e l’idea è che alla fine una di queste unità sarà collegata al computer con air-gapped.

Il difetto principale nel concetto di isolamento dei computer sensibili è che l’air gap intorno ad essi può essere mantenuto solo se nessuno ha mai bisogno di copiare file su o fuori di essi. Ma anche per i sistemi specializzati, ci sono sempre aggiornamenti e patch da installare, e informazioni che devono essere inserite o estratte. È risaputo tra gli specialisti IT che i dischi rigidi esterni sono un obiettivo ovvio per chiunque cerchi di rompere il vuoto d’aria, e le precauzioni sono presumibilmente prese nelle strutture con diligenti specialisti IT. Queste precauzioni, tuttavia, possono essere sovvertite con lo sfruttamento di oscure vulnerabilità, e a volte gli errori semplicemente accadono.

Se un thumb drive infettato da Brutal Kangaroo viene inserito in un computer con air-gapped, si copia immediatamente su di esso. Se un utente cerca di sfogliare il contenuto dell’unità infetta su quel computer, si attiverà un ulteriore malware che raccoglierà dati dal computer. Mentre gli utenti continuano a inserire l’unità nei computer collegati e scollegati, si forma un relè, creando alla fine un lento percorso di ritorno all’hacker, attraverso il quale i dati copiati dal computer con air-gapped saranno consegnati se tutto va secondo i piani.

Molti dettagli descritti nei documenti di Brutal Kangaroo hanno attirato paragoni con Stuxnet, il potente malware sviluppato dagli Stati Uniti e Israele per sabotare il programma nucleare dell’Iran. Stuxnet è stato specificamente costruito per prendere di mira i computer con attacco aereo che controllavano le centrifughe in un impianto nucleare iraniano. Gli aggressori in quel caso non hanno preso di mira una rete collegata a internet all’interno dell’impianto nucleare, presumibilmente perché non c’era, ma invece hanno preso di mira cinque organizzazioni esterne, secondo un rapporto del 2014 in Wired. Da lì, tuttavia, l’attacco ha funzionato in modo molto simile ai metodi descritti nei documenti di Brutal Kangaroo: Stuxnet si diffondeva anche attraverso le chiavette, si nascondeva nei file LNK e tentava di creare un relè per rimandare le informazioni agli aggressori.

Stuxnet è stato infine scoperto dai ricercatori di sicurezza perché era troppo potente, e si è diffuso in molti più computer di quanto i suoi creatori apparentemente volessero. Gli sviluppatori di Brutal Kangaroo sembrano aver preso una lezione da questo, e hanno descritto diversi controlli nei loro documenti che impediranno la sua diffusione se certi fattori sono soddisfatti. Ogni volta che atterra su un nuovo computer, Brutal Kangaroo prima controlla la data del computer. Se è passata una data hard-coded nel malware, “il programma uscirà immediatamente”, secondo i documenti. Controlla anche una sorta di “lista nera”, ed esce se il computer è su di essa. Uscirà anche da Brutal Kangaroo “se il computer è stato visto prima”.

I documenti di Brutal Kangaroo sono solo l’ultima rivelazione su ciò di cui gli hacker della CIA sono presumibilmente capaci. Le precedenti pubblicazioni del Vault 7 hanno incluso documenti che suggeriscono che l’agenzia può trasformare le smart TV in dispositivi di ascolto, violare vari sistemi operativi desktop e mobili, e monitorare il traffico internet penetrando nei router wifi domestici. Ad aprile, Symantec ha abbinato diversi strumenti descritti nei comunicati a un software invasivo che stava monitorando dal 2014. Quel malware aveva infettato almeno 40 obiettivi in 16 paesi dal 2011, ha detto la società in un post sul blog, ed era probabilmente attivo già nel 2007.

La CIA non ha confermato la sua proprietà dei documenti o degli strumenti, ma come Motherboard ha sottolineato lo scorso marzo, i funzionari degli Stati Uniti hanno detto in tribunale che i documenti contengono informazioni classificate, suggerendo che le perdite sono in realtà autentiche.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.