Când firewall-urile, serviciile de monitorizare a rețelei și software-ul antivirus nu sunt suficiente, a existat întotdeauna o modalitate sigură de a proteja computerele care controlează operațiuni sensibile, cum ar fi rețelele electrice și pompele de apă: întreruperea completă a conexiunii la internet. Dar noi documente publicate de WikiLeaks la 22 iunie sugerează că, chiar și atunci când se iau astfel de măsuri extreme, niciun computer nu este în siguranță în fața unor hackeri motivați și cu resurse suficiente.

Cele 11 documente descriu un software numit „Brutal Kangaroo”, un set de instrumente construit pentru a se infiltra în computere izolate, „izolate în aer”, vizând rețelele conectate la internet din cadrul aceleiași organizații. Este cea mai recentă publicație din seria de documente scurse din „Vault 7”, care descriu o multitudine de instrumente de hacking despre care WikiLeaks spune că aparțin Agenției Centrale de Informații a SUA (CIA).

Brutal Kangaroo funcționează prin crearea unei căi digitale de la un atacator până la un computer „air-gapped” și înapoi. Procesul începe atunci când un hacker infectează de la distanță un computer conectat la internet din organizația sau instalația care este vizată. Odată ce a infectat acel prim computer, ceea ce documentele numesc „gazda principală”, Brutal Kangaroo așteaptă. Nu se poate răspândi la alte sisteme până când cineva nu conectează o unitate USB în primul sistem.

WikiLeaks

„Emotional Simian”, un instrument de împachetare a malware-ului descris în documentele Brutal Kangaroo

După ce cineva face acest lucru, malware-ul specific mărcii și modelului unității thumb este copiat pe aceasta, ascunzându-se în fișiere LNK modificate pe care Microsoft Windows le folosește pentru a reda pictogramele de pe desktop și în fișiere DLL care conțin programe executabile. Din acest punct, Brutal Kangaroo va răspândi alte programe malware în orice sistem în care este conectată unitatea USB. Iar aceste sisteme vor infecta fiecare unitate care este conectată la ele, și așa mai departe, iar ideea este că, în cele din urmă, una dintre aceste unități va fi conectată la computerul cu spațiu de aerisire.

Defectul major al conceptului de izolare a computerelor sensibile este că spațiul de aer din jurul lor poate fi menținut doar dacă nimeni nu are nevoie vreodată să copieze fișiere pe sau de pe ele. Dar chiar și în cazul sistemelor specializate, există întotdeauna actualizări și patch-uri care trebuie instalate, precum și informații care trebuie introduse sau scoase. Este de notorietate în rândul specialiștilor IT faptul că hard disk-urile externe sunt o țintă evidentă pentru oricine încearcă să spargă spațiul de aer și se presupune că se iau măsuri de precauție în unitățile cu specialiști IT sârguincioși. Cu toate acestea, aceste precauții pot fi subminate prin exploatarea unor vulnerabilități obscure și, uneori, pur și simplu se întâmplă greșeli.

Dacă o unitate thumb drive infectată cu Brutal Kangaroo este conectată la un computer cu air-gap, aceasta se copiază imediat pe el. Dacă un utilizator încearcă să navigheze conținutul unității infectate pe acel computer, acesta va declanșa un malware suplimentar care va colecta date de pe computer. Pe măsură ce utilizatorii continuă să conecteze unitatea la computere conectate și deconectate, se formează un releu, creând în cele din urmă o cale lentă de întoarcere către hacker, prin care vor fi livrate datele copiate de pe computerul cu aer comprimat, dacă totul decurge conform planului.

Multe detalii descrise în documentele Brutal Kangaroo au atras comparații cu Stuxnet, puternicul malware care ar fi fost dezvoltat de SUA și Israel pentru a sabota programul nuclear al Iranului. Stuxnet a fost construit în mod special pentru a viza computerele cu grilă de aer care controlau centrifugele dintr-o instalație nucleară iraniană. În acest caz, atacatorii nu au vizat o rețea conectată la internet în cadrul instalației nucleare, probabil pentru că nu exista una, ci au vizat cinci organizații externe, potrivit unui raport din 2014 publicat în Wired. De acolo, însă, atacul a funcționat cam în același mod ca și metodele descrise în documentele Brutal Kangaroo: Stuxnet s-a răspândit, de asemenea, prin intermediul stick-urilor, s-a ascuns în fișiere LNK și a încercat să creeze un releu pentru a trimite informații către atacatori.

Stuxnet a fost în cele din urmă descoperit de cercetătorii în domeniul securității, deoarece era prea puternic și s-a răspândit la mult mai multe computere decât se pare că își doreau creatorii săi. Dezvoltatorii lui Brutal Kangaroo par să fi învățat o lecție din asta și au descris în documentele lor mai multe verificări care îl vor împiedica să se răspândească dacă anumiți factori sunt îndepliniți. De fiecare dată când aterizează pe un computer nou, Brutal Kangaroo verifică mai întâi data computerului. În cazul în care aceasta a depășit o dată codificată în malware, „programul va ieși imediat”, conform documentelor. De asemenea, programul verifică un fel de „listă neagră” și va ieși dacă computerul se află pe ea. De asemenea, Brutal Kangaroo va ieși din Brutal Kangaroo „dacă computerul a mai fost văzut înainte.”

Documentele Brutal Kangaroo sunt doar cea mai recentă dezvăluire despre ceea ce se presupune că sunt capabili să facă hackerii CIA. Publicațiile anterioare din Vault 7 au inclus documente care sugerează că agenția poate transforma televizoarele inteligente în dispozitive de ascultare, poate sparge diverse sisteme de operare pentru desktop-uri și telefoane mobile și poate monitoriza traficul de internet prin pătrunderea în routerele wifi de acasă. În aprilie, Symantec a comparat mai multe instrumente descrise în publicații cu un software invaziv pe care îl urmărea din 2014. Acel malware a infectat cel puțin 40 de ținte din 16 țări începând din 2011, a precizat compania într-o postare pe blog, fiind posibil să fi fost activ încă din 2007.

CIA nu a confirmat că deține documentele sau instrumentele, dar, după cum a subliniat Motherboard în martie anul trecut, oficialii americani au declarat în instanță că documentele conțin informații clasificate, ceea ce sugerează că scurgerile de informații sunt, de fapt, autentice.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.