Quando firewalls, serviços de monitorização de rede e software antivírus não são suficientes, sempre houve uma forma segura de proteger computadores que controlam operações sensíveis como redes de energia e bombas de água: desligá-los completamente da Internet. Mas novos documentos publicados pelo WikiLeaks em 22 de junho sugerem que, mesmo quando medidas tão extremas são tomadas, nenhum computador está a salvo de hackers motivados e com bons recursos.
Os 11 documentos descrevem um software chamado “Brutal Kangaroo”, um conjunto de ferramentas construídas para se infiltrar em computadores isolados e “air-gapped”, visando redes conectadas à internet dentro da mesma organização. É a última publicação da série “Vault 7” de documentos vazados, que descreve uma miríade de ferramentas de hacking que o WikiLeaks diz pertencer à Agência Central de Inteligência dos EUA (CIA).
Canguru Brutal funciona criando um caminho digital de um atacante para um computador com air-gapped e de volta. O processo começa quando um hacker infecta remotamente um computador conectado à internet na organização ou instalação que está sendo alvo. Depois de infectar o primeiro computador, o que os documentos chamam de “hospedeiro primário”, o Canguru Brutal espera. Ele não pode se espalhar para outros sistemas até que alguém conecte uma unidade USB naquele primeiro.
A partir do momento que alguém o faz, um malware específico para a marca e modelo da unidade de polegar é copiado para ele, escondido em arquivos LNK modificados que o Microsoft Windows usa para renderizar ícones do desktop, e em arquivos DLL que contêm programas executáveis. A partir deste ponto, o Canguru Brutal irá espalhar mais malware para qualquer sistema em que a unidade de polegar esteja conectada. E esses sistemas vão infectar cada unidade que estiver conectada a eles, e assim por diante, e a idéia é que eventualmente uma dessas unidades será conectada ao computador com ar comprimido.
A maior falha no conceito de isolar computadores sensíveis é que a lacuna de ar ao redor deles só pode ser mantida se ninguém precisar copiar arquivos dentro ou fora deles. Mas mesmo para sistemas especializados, há sempre atualizações e patches para instalar, e informações que têm que ser alimentadas ou puxadas para fora. É de conhecimento comum entre os especialistas em TI que os discos rígidos externos são um alvo óbvio para qualquer pessoa que procure quebrar a lacuna de ar, e presumivelmente são tomadas precauções em instalações com especialistas de TI diligentes. Essas precauções, porém, podem ser subvertidas com explorações de vulnerabilidades obscuras, e às vezes erros simplesmente acontecem.
Se um drive de polegar infectado com Canguru Brutal for conectado a um computador com air-gap, ele se copia imediatamente para ele. Se um usuário tentar navegar pelo conteúdo da unidade infectada nesse computador, ele irá acionar um malware adicional que irá coletar dados do computador. À medida que os usuários continuam ligando a unidade em computadores conectados e desconectados, um relé é formado, criando um caminho lento de volta ao hacker, através do qual os dados copiados do computador com air-gap serão entregues se tudo correr de acordo com o plano.
Muitos detalhes descritos nos documentos do Canguru Brutal desenharam comparações com o Stuxnet, o poderoso malware desenvolvido pelos EUA e Israel para sabotar o programa nuclear do Irã. O Stuxnet foi especificamente construído para apontar para computadores com ar comprimido que controlavam centrífugas em uma instalação nuclear iraniana. Os atacantes nesse caso não visavam uma rede conectada à internet dentro da instalação nuclear, presumivelmente porque não havia uma, mas sim cinco organizações externas, de acordo com um relatório de 2014 na Wired. A partir daí, porém, o ataque funcionou de forma muito semelhante aos métodos descritos nos documentos da Brutal Kangaroo: A Stuxnet também se espalhou através de unidades de polegar, escondeu-se em arquivos LNK e tentou criar um relé para enviar informações de volta aos atacantes.
Stuxnet foi eventualmente descoberta por pesquisadores de segurança porque era muito poderosa, e se espalhou para muito mais computadores do que os seus criadores aparentemente queriam. Os desenvolvedores do Canguru Brutal parecem ter tirado uma lição disso, e descreveram várias verificações em seus documentos que irão impedi-la de se espalhar se certos fatores forem encontrados. Toda vez que aterrissa em um novo computador, o Canguru Brutal verifica primeiro a data do computador. Se passar uma data codificada no malware, “o programa irá sair imediatamente”, de acordo com os documentos. Ele também verifica algum tipo de “lista negra”, e vai desistir se o computador estiver nele. Ele também vai sair do Canguru Brutal “se o computador tivesse sido visto antes”,
Os documentos do Canguru Brutal são apenas a última revelação sobre o que os hackers da CIA são supostamente capazes de fazer. Publicações anteriores do Vault 7 incluíram documentos que sugerem que a agência pode transformar TVs inteligentes em dispositivos de escuta, hackear vários sistemas operacionais móveis e de mesa, e monitorar o tráfego da internet invadindo roteadores wifi domésticos. Em abril, a Symantec combinou várias ferramentas descritas nos lançamentos com softwares invasivos que ela vinha rastreando desde 2014. Que o malware tinha infectado pelo menos 40 alvos em 16 países desde 2011, disse a empresa em um post de blog, e possivelmente estava ativa desde 2007.
A CIA não confirmou a propriedade dos documentos ou ferramentas, mas como a placa-mãe apontou em março passado, funcionários dos EUA disseram em tribunal que os documentos contêm informações confidenciais, sugerindo que os vazamentos são de fato autênticos.