Gdy zapory sieciowe, usługi monitorowania sieci i oprogramowanie antywirusowe nie wystarczają, zawsze istniał jeden pewny sposób ochrony komputerów, które kontrolują wrażliwe operacje, takie jak sieci energetyczne i pompy wodne: całkowicie odciąć je od Internetu. Jednak nowe dokumenty opublikowane przez WikiLeaks 22 czerwca sugerują, że nawet po podjęciu tak ekstremalnych środków żaden komputer nie jest bezpieczny przed zmotywowanymi, dobrze wyposażonymi hakerami.

W 11 dokumentach opisano oprogramowanie o nazwie „Brutal Kangaroo”, zestaw narzędzi stworzonych do infiltracji odizolowanych, „zamkniętych w powietrzu” komputerów poprzez atakowanie sieci podłączonych do Internetu w obrębie tej samej organizacji. Jest to najnowsza publikacja w serii „Vault 7” wyciekłych dokumentów, które opisują niezliczone narzędzia hakerskie, o których WikiLeaks mówi, że należą do Centralnej Agencji Wywiadowczej USA (CIA).

Brutal Kangaroo działa poprzez tworzenie cyfrowej ścieżki od atakującego do komputera air-gapped i z powrotem. Proces rozpoczyna się, gdy haker zdalnie infekuje podłączony do Internetu komputer w organizacji lub obiekcie będącym celem ataku. Po zainfekowaniu tego pierwszego komputera, który w dokumentach określany jest jako „główny host”, Brutal Kangaroo czeka. Nie może rozprzestrzeniać się na inne systemy, dopóki ktoś nie podłączy do tego pierwszego komputera dysku USB.

WikiLeaks

„Emotional Simian”, narzędzie do pakowania złośliwego oprogramowania opisane w dokumentach Brutal Kangaroo

Gdy ktoś to zrobi, złośliwe oprogramowanie specyficzne dla marki i modelu pendrive’a zostaje na niego skopiowane, ukrywając się w zmodyfikowanych plikach LNK, których Microsoft Windows używa do renderowania ikon na pulpicie, oraz w plikach DLL zawierających programy wykonywalne. Od tego momentu Brutal Kangaroo rozprzestrzenia dalsze złośliwe oprogramowanie do każdego systemu, do którego podłączony jest pendrive. A te systemy zainfekują każdy dysk, który jest do nich podłączony, i tak dalej, a pomysł jest taki, że w końcu jeden z tych dysków zostanie podłączony do komputera z izolacją powietrzną.

Główną wadą koncepcji izolowania wrażliwych komputerów jest to, że szczelina powietrzna wokół nich może być utrzymana tylko wtedy, gdy nikt nigdy nie musi kopiować plików na nie lub z nich. Ale nawet w przypadku wyspecjalizowanych systemów, zawsze są aktualizacje i poprawki do zainstalowania, a także informacje, które muszą być wprowadzane lub pobierane. Wśród specjalistów IT powszechnie wiadomo, że zewnętrzne dyski twarde są oczywistym celem dla każdego, kto chce naruszyć szczelinę powietrzną, a środki ostrożności są przypuszczalnie podejmowane w obiektach, w których pracują sumienni informatycy. Te środki ostrożności mogą jednak zostać podważone przez wykorzystanie niejasnych luk w zabezpieczeniach, a czasami po prostu zdarzają się błędy.

Jeśli pendrive zainfekowany Brutal Kangaroo zostanie podłączony do komputera wyposażonego w szczelinę powietrzną, natychmiast się na niego kopiuje. Jeśli użytkownik spróbuje przeglądać zawartość zainfekowanego dysku na tym komputerze, uruchomi dodatkowe złośliwe oprogramowanie, które będzie zbierać dane z komputera. W miarę jak użytkownicy podłączają dysk do podłączonych i odłączonych komputerów, tworzy się przekaźnik, który ostatecznie tworzy powolną ścieżkę powrotną do hakera, przez którą zostaną dostarczone dane skopiowane z komputera w pułapce powietrznej, jeśli wszystko pójdzie zgodnie z planem.

Wiele szczegółów opisanych w dokumentach Brutal Kangaroo przyciągnęło porównania do Stuxneta, potężnego złośliwego oprogramowania podobno opracowanego przez USA i Izrael w celu sabotowania irańskiego programu jądrowego. Stuxnet został zbudowany specjalnie po to, aby namierzyć komputery w pułapce powietrznej, które kontrolowały wirówki w irańskim ośrodku nuklearnym. Atakujący w tym przypadku nie wzięli na celownik sieci podłączonej do Internetu w obiekcie nuklearnym, przypuszczalnie dlatego, że jej tam nie było, ale zamiast tego wzięli na cel pięć organizacji zewnętrznych, zgodnie z raportem z 2014 roku opublikowanym w Wired. Stamtąd jednak atak działał w podobny sposób, jak metody opisane w dokumentach Brutal Kangaroo: Stuxnet również rozprzestrzeniał się za pośrednictwem dysków miniaturowych, ukrywał się w plikach LNK i próbował stworzyć przekaźnik, aby wysłać informacje z powrotem do atakujących.

Stuxnet został ostatecznie odkryty przez badaczy bezpieczeństwa, ponieważ był zbyt potężny i rozprzestrzenił się na znacznie więcej komputerów, niż najwyraźniej chcieli jego twórcy. Twórcy Brutal Kangaroo najwyraźniej wyciągnęli z tego lekcję i opisali w swoich dokumentach kilka kontroli, które powstrzymają go przed rozprzestrzenianiem się, jeśli spełnione zostaną określone czynniki. Za każdym razem, gdy Brutal Kangaroo ląduje na nowym komputerze, najpierw sprawdza jego datę. Jeśli jest ona późniejsza niż data zakodowana w złośliwym oprogramowaniu, „program natychmiast kończy działanie” – czytamy w dokumentach. Sprawdza również pewnego rodzaju „czarną listę” i kończy pracę, jeśli komputer się na niej znajduje. Wyłączy również Brutal Kangaroo „jeśli komputer był widziany wcześniej.”

Dokumenty Brutal Kangaroo są tylko najnowszymi rewelacjami na temat tego, do czego hakerzy CIA są rzekomo zdolni. Poprzednie publikacje Vault 7 zawierały dokumenty sugerujące, że agencja może zamienić inteligentne telewizory w urządzenia podsłuchowe, zhakować różne systemy operacyjne komputerów stacjonarnych i mobilnych oraz monitorować ruch internetowy poprzez włamywanie się do domowych routerów wifi. W kwietniu Symantec dopasował kilka narzędzi opisanych w publikacjach do inwazyjnego oprogramowania, które śledził od 2014 roku. To złośliwe oprogramowanie zainfekowało co najmniej 40 celów w 16 krajach od 2011 roku, firma powiedziała we wpisie na blogu, i prawdopodobnie było aktywne już w 2007 roku.

CIA nie potwierdziła swojej własności dokumentów lub narzędzi, ale jak zauważył Motherboard w marcu ubiegłego roku, urzędnicy USA powiedzieli w sądzie, że dokumenty zawierają informacje niejawne, co sugeruje, że wycieki są w rzeczywistości autentyczne.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.