CIA Leaks: con Brutal Kangaroo gli agenti colpiscono i PC scollegati dalla rete

Giu 22, 2017 Marco Schiaffino Attacchi, Hacking, Leaks, Malware, News, RSS 0

---

I documenti pubblicati dal sito di Assange svelano gli strumenti usati dagli 007 per compromettere i computer “isolati” dal resto della rete.

In gergo viene chiamato air gap ed è considerata la forma di protezione più efficace per i computer che contengono dati particolarmente sensibili. Il concetto, in pratica, è quello di mantenerli separati dal resto della rete informatica per fare in modo che l’accesso al PC possa avvenire solo fisicamente.

Stando a quanto si legge sui documenti pubblicati da WikiLeaks, però, gli agenti della CIA avrebbero uno strumento anche per superare questo tipo di protezione. Certo, non si tratta di qualcosa che permette di andare “a colpo sicuro”, ma è comunque un asso nella manica che gli operatori della Central Intelligence Agency possono giocarsi quando si trovano di fronte a un bersaglio irraggiungibile attraverso la rete.

Il suo nome è Brutal Kangaroo ed è un pacchetto di strumenti pensato per utilizzare un normale PC come base d’appoggio e riuscire a eseguire il “salto” che gli permette di raggiungere il reale obiettivo, cioè il computer scollegato dalla rete. Secondo i ricercatori, è molto probabile che questo pacchetto di strumenti sia stato usato per installare Stuxnet sui sistemi delle centrali di arricchimento dell’uranio iraniane nel 2010.

La strategia d’attacco che sfrutta Brutal Kangaroo è piuttosto complessa e parte dal presupposto che per trasferire dati da e verso il computer obiettivo dell’attacco sia usata regolarmente una chiavetta USB.

Tutto comincia con un attacco “tradizionale” nei confronti di un computer all’interno della struttura che si vuole colpire. Da qui, gli agenti devono puntare tutto sul fatto di riuscire ad avere un vero colpo di fortuna: riuscire a infettare un computer dal quale vengono trasferiti regolarmente dati verso il loro reale obiettivo.

Per farlo usano un tool chiamato Drifting Deadline, che è in grado di generare un malware specificatamente pensato per colpire le chiavette USB e che si attiva automaticamente non appena una chiavetta viene collegata al PC e aperta con Windows Explorer.

Da questo momento, il primo computer agisce come “host”, mentre qualsiasi PC a cui viene collegata la chiavetta USB infetta viene compromesso con un malware chiamato Shadow, che come spiega il manuale di istruzioni (sigh) gli agenti possono programmare a loro piacimento.

A questo punto serve solo che un agente infiltrato colleghi una chiavetta al computer host e, successivamente, a quello che vuole colpire. In alternativa (ma qui stiamo parlando di un vero azzardo) può sempre aspettare che lo faccia qualcuno degli impiegati od operatori che lavorano sui computer in questione-

Una volta infettato l’obiettivo, è quindi possibile eseguire qualsiasi tipo di operazione (nel caso di Stuxnet, per esempio, il sabotaggio dei sistemi di arricchimento dell’uranio della centrale iraniana di Natanz) raccogliere dati e anche creare un network nascosto tra i computer connessi all’interno della eventuale “rete isolata” a cui è collegato l’obiettivo dell’attacco.

Per il recupero dei dati, gli 007 statunitensi devono contare sullo stesso meccanismo usato per l’infezione, aspettare cioè che la chiavetta sia collegata di nuovo a un computer connesso a Internet, che verrà automaticamente infettato e invierà i dati raccolti agli agenti della CIA.

Il sistema usato per infettare i computer attraverso la chiavetta USB sfrutta una vulnerabilità di Windows legata ai file in formato LNK di cui abbiamo parlato nel dettaglio in un altro articolo e che Microsoft ha corretto recentemente, probabilmente proprio in seguito alle informazioni fornite da WikiLeaks, che starebbe fornendo ai produttori di software le informazioni sui tool della CIA di cui è entrata in possesso per consentire loro di “tappare” le vulnerabilità.

---

• Brutal Kangaroo, CIA, LNK, Wikileaks

---

---