Quando firewalls, serviços de monitorização de rede e software antivírus não são suficientes, sempre houve uma forma segura de proteger computadores que controlam operações sensíveis como redes de energia e bombas de água: desligá-los completamente da Internet. Mas novos documentos publicados pelo WikiLeaks em 22 de junho sugerem que, mesmo quando medidas tão extremas são tomadas, nenhum computador está a salvo de hackers motivados e com bons recursos.

Os 11 documentos descrevem um software chamado “Brutal Kangaroo”, um conjunto de ferramentas construídas para se infiltrar em computadores isolados e “air-gapped”, visando redes conectadas à internet dentro da mesma organização. É a última publicação da série “Vault 7” de documentos vazados, que descreve uma miríade de ferramentas de hacking que o WikiLeaks diz pertencer à Agência Central de Inteligência dos EUA (CIA).

Canguru Brutal funciona criando um caminho digital de um atacante para um computador com air-gapped e de volta. O processo começa quando um hacker infecta remotamente um computador conectado à internet na organização ou instalação que está sendo alvo. Depois de infectar o primeiro computador, o que os documentos chamam de “hospedeiro primário”, o Canguru Brutal espera. Ele não pode se espalhar para outros sistemas até que alguém conecte uma unidade USB naquele primeiro.

WikiLeaks

“Emotional Simian”, uma ferramenta para empacotar malware descrito nos documentos do Canguru Brutal

A partir do momento que alguém o faz, um malware específico para a marca e modelo da unidade de polegar é copiado para ele, escondido em arquivos LNK modificados que o Microsoft Windows usa para renderizar ícones do desktop, e em arquivos DLL que contêm programas executáveis. A partir deste ponto, o Canguru Brutal irá espalhar mais malware para qualquer sistema em que a unidade de polegar esteja conectada. E esses sistemas vão infectar cada unidade que estiver conectada a eles, e assim por diante, e a idéia é que eventualmente uma dessas unidades será conectada ao computador com ar comprimido.

A maior falha no conceito de isolar computadores sensíveis é que a lacuna de ar ao redor deles só pode ser mantida se ninguém precisar copiar arquivos dentro ou fora deles. Mas mesmo para sistemas especializados, há sempre atualizações e patches para instalar, e informações que têm que ser alimentadas ou puxadas para fora. É de conhecimento comum entre os especialistas em TI que os discos rígidos externos são um alvo óbvio para qualquer pessoa que procure quebrar a lacuna de ar, e presumivelmente são tomadas precauções em instalações com especialistas de TI diligentes. Essas precauções, porém, podem ser subvertidas com explorações de vulnerabilidades obscuras, e às vezes erros simplesmente acontecem.

Se um drive de polegar infectado com Canguru Brutal for conectado a um computador com air-gap, ele se copia imediatamente para ele. Se um usuário tentar navegar pelo conteúdo da unidade infectada nesse computador, ele irá acionar um malware adicional que irá coletar dados do computador. À medida que os usuários continuam ligando a unidade em computadores conectados e desconectados, um relé é formado, criando um caminho lento de volta ao hacker, através do qual os dados copiados do computador com air-gap serão entregues se tudo correr de acordo com o plano.

Muitos detalhes descritos nos documentos do Canguru Brutal desenharam comparações com o Stuxnet, o poderoso malware desenvolvido pelos EUA e Israel para sabotar o programa nuclear do Irã. O Stuxnet foi especificamente construído para apontar para computadores com ar comprimido que controlavam centrífugas em uma instalação nuclear iraniana. Os atacantes nesse caso não visavam uma rede conectada à internet dentro da instalação nuclear, presumivelmente porque não havia uma, mas sim cinco organizações externas, de acordo com um relatório de 2014 na Wired. A partir daí, porém, o ataque funcionou de forma muito semelhante aos métodos descritos nos documentos da Brutal Kangaroo: A Stuxnet também se espalhou através de unidades de polegar, escondeu-se em arquivos LNK e tentou criar um relé para enviar informações de volta aos atacantes.

Stuxnet foi eventualmente descoberta por pesquisadores de segurança porque era muito poderosa, e se espalhou para muito mais computadores do que os seus criadores aparentemente queriam. Os desenvolvedores do Canguru Brutal parecem ter tirado uma lição disso, e descreveram várias verificações em seus documentos que irão impedi-la de se espalhar se certos fatores forem encontrados. Toda vez que aterrissa em um novo computador, o Canguru Brutal verifica primeiro a data do computador. Se passar uma data codificada no malware, “o programa irá sair imediatamente”, de acordo com os documentos. Ele também verifica algum tipo de “lista negra”, e vai desistir se o computador estiver nele. Ele também vai sair do Canguru Brutal “se o computador tivesse sido visto antes”,

Os documentos do Canguru Brutal são apenas a última revelação sobre o que os hackers da CIA são supostamente capazes de fazer. Publicações anteriores do Vault 7 incluíram documentos que sugerem que a agência pode transformar TVs inteligentes em dispositivos de escuta, hackear vários sistemas operacionais móveis e de mesa, e monitorar o tráfego da internet invadindo roteadores wifi domésticos. Em abril, a Symantec combinou várias ferramentas descritas nos lançamentos com softwares invasivos que ela vinha rastreando desde 2014. Que o malware tinha infectado pelo menos 40 alvos em 16 países desde 2011, disse a empresa em um post de blog, e possivelmente estava ativa desde 2007.

A CIA não confirmou a propriedade dos documentos ou ferramentas, mas como a placa-mãe apontou em março passado, funcionários dos EUA disseram em tribunal que os documentos contêm informações confidenciais, sugerindo que os vazamentos são de fato autênticos.

Deixe uma resposta

O seu endereço de email não será publicado.