Wanneer firewalls, netwerkbewakingsdiensten en antivirussoftware niet genoeg zijn, is er altijd één trefzekere manier geweest om computers te beschermen die gevoelige operaties zoals elektriciteitsnetten en waterpompen besturen: sluit ze volledig af van het internet. Maar nieuwe documenten die op 22 juni door WikiLeaks zijn gepubliceerd, suggereren dat zelfs wanneer dergelijke extreme maatregelen worden genomen, geen computer veilig is voor gemotiveerde, goed gefinancierde hackers.

De 11 documenten beschrijven een stuk software genaamd “Brutal Kangaroo,” een set van tools gebouwd voor het infiltreren van geïsoleerde, “air-gapped” computers door zich te richten op internet-verbonden netwerken binnen dezelfde organisatie. Het is de laatste publicatie in de “Vault 7” serie van gelekte documenten, die talloze hacktools beschrijven die volgens WikiLeaks toebehoren aan de Amerikaanse Central Intelligence Agency (CIA).

Brutal Kangaroo werkt door een digitaal pad te creëren van een aanvaller naar een “air-gapped” computer en terug. Het proces begint wanneer een hacker op afstand een computer met internetverbinding infecteert in de organisatie of faciliteit die het doelwit is. Zodra het die eerste computer heeft geïnfecteerd, wat in de documenten de “primaire host” wordt genoemd, wacht Brutal Kangaroo. Het kan zich pas naar andere systemen verspreiden wanneer iemand een USB-stick in die eerste computer steekt.

WikiLeaks

“Emotional Simian”, een hulpprogramma voor het verpakken van malware dat wordt beschreven in de Brutal Kangaroo-documenten

Zodra iemand dat doet, wordt er malware op gekopieerd die specifiek is voor het merk en model van de USB-stick, die zich verbergt in gewijzigde LNK-bestanden die Microsoft Windows gebruikt om bureaubladpictogrammen weer te geven, en in DLL-bestanden die uitvoerbare programma’s bevatten. Vanaf dit punt verspreidt Brutal Kangaroo verdere malware naar elk systeem waar die thumb drive op is aangesloten. En die systemen zullen elke schijf besmetten die erop is aangesloten, enzovoort, en het idee is dat uiteindelijk een van die schijven zal worden aangesloten op de computer met luchtgap.

De grote fout in het concept van het isoleren van gevoelige computers is dat de luchtgap eromheen alleen kan worden gehandhaafd als niemand ooit bestanden op of van hen hoeft te kopiëren. Maar zelfs voor gespecialiseerde systemen zijn er altijd updates en patches te installeren, en informatie die moet worden binnengehaald of weggehaald. Onder IT-specialisten is het algemeen bekend dat externe harde schijven een voor de hand liggend doelwit zijn voor iemand die de “air gap” wil doorbreken, en er worden vermoedelijk voorzorgsmaatregelen genomen in faciliteiten met ijverige IT-specialisten. Deze voorzorgsmaatregelen kunnen echter worden ondermijnd door gebruik te maken van obscure kwetsbaarheden, en soms worden er gewoon fouten gemaakt.

Als een thumb drive, geïnfecteerd met Brutal Kangaroo, in een computer met air-gap wordt gestoken, kopieert het zichzelf onmiddellijk naar de computer. Als een gebruiker probeert de inhoud van de geïnfecteerde schijf op die computer te doorzoeken, wordt aanvullende malware geactiveerd die gegevens van de computer verzamelt. Als gebruikers de schijf blijven aansluiten op verbonden en losgekoppelde computers, wordt een relais gevormd, waardoor uiteindelijk een langzaam pad terug naar de hacker ontstaat, waardoor de gegevens die van de in de lucht geplaatste computer zijn gekopieerd, zullen worden afgeleverd als alles volgens plan verloopt.

Veel details beschreven in de Brutal Kangaroo-documenten hebben vergelijkingen getrokken met Stuxnet, de krachtige malware die naar verluidt door de VS en Israël is ontwikkeld om het nucleaire programma van Iran te saboteren. Stuxnet was specifiek gebouwd om computers met luchtafdekking aan te vallen die centrifuges in een Iraanse nucleaire faciliteit controleerden. De aanvallers richtten zich in dat geval niet op een met internet verbonden netwerk binnen de nucleaire faciliteit, vermoedelijk omdat dat er niet was, maar in plaats daarvan op vijf externe organisaties, aldus een rapport uit 2014 in Wired. Van daaruit werkte de aanval echter op vrijwel dezelfde manier als de methoden die in de Brutal Kangaroo-documenten worden beschreven: Stuxnet verspreidde zich ook via thumb drives, verborg zich in LNK-bestanden, en probeerde een relais te creëren om informatie terug te sturen naar de aanvallers.

Stuxnet werd uiteindelijk ontdekt door beveiligingsonderzoekers omdat het te krachtig was, en verspreidde zich naar veel meer computers dan de makers blijkbaar wilden. De ontwikkelaars van Brutal Kangaroo lijken daar een les uit te hebben getrokken en hebben in hun documenten verschillende controles beschreven die de verspreiding tegenhouden als aan bepaalde factoren wordt voldaan. Elke keer dat het op een nieuwe computer landt, controleert Brutal Kangaroo eerst de datum van de computer. Als deze voorbij een datum is die hard gecodeerd is in de malware, “zal het programma onmiddellijk afsluiten,” volgens de documenten. Het controleert ook een soort van “zwarte lijst,” en zal afsluiten als de computer daarop staat. Het zal ook Brutal Kangaroo afsluiten “als de computer eerder was gezien.”

De Brutal Kangaroo-documenten zijn slechts de laatste onthulling over waartoe de hackers van de CIA in staat zouden zijn. Eerdere Vault 7-publicaties bevatten documenten die suggereren dat het agentschap slimme tv’s kan veranderen in afluisterapparatuur, verschillende desktop- en mobiele besturingssystemen kan hacken en internetverkeer kan monitoren door in te breken in wifi-routers thuis. In april matchte Symantec verschillende tools die in de releases werden beschreven met invasieve software die het al sinds 2014 volgde. Die malware had sinds 2011 ten minste 40 doelwitten in 16 landen geïnfecteerd, zei het bedrijf in een blogpost, en was mogelijk al in 2007 actief.

De CIA heeft niet bevestigd dat zij eigenaar is van de documenten of tools, maar zoals Motherboard afgelopen maart al aangaf, zeiden Amerikaanse functionarissen in de rechtbank dat de documenten geheime informatie bevatten, wat suggereert dat de lekken in feite authentiek zijn.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.