MALWARE PARA HACKEAR REDES AIR-GAPPED

WikiLeaks publica un conjunto de herramientas de software malicioso CIA para la intrusión en redes sin conexión air-gapped utilizando memorias USB contaminadas

De acuerdo con WikiLeaks, Brutal Kangaroo es el nombre genérico de un proyecto que incluye las siguientes herramientas:
  • Drifting Deadline: La principal herramienta Brutal Kangaroo, que consiste en un generador basado en la interfaz gráfica de usuario que permite a los operarios para generar todo el malware es necesario
  • Shattered Assurance: Un componente de servidor que se ejecuta en los huéspedes infectados que automatiza la infección de las unidades flash utilizando software malicioso generado a través Fecha límite de deriva
  • Shadow: Herramienta para crear y coordinar varios ordenadores infectados en una red aislada, permitiendo a los operadores definen una serie de tareas a ejecutar en ordenadores sin conexión
  • Broken Promise: Herramienta para evaluar y exfiltrate datos recogidos de las redes con huecos con Air-Gapped

Cómo funciona un ataque de Brutal Kangaroo

La CIA utiliza estas herramientas como parte de un proceso de ataque muy complejo, que comienza con un agente de la CIA usando Drifting Deadline para generar la primera y segunda etapa de malware utilizado en los ataques, en función de cada objetivo.

El proceso a continuación, pasa a la utilización de otras herramientas de la CIA para infectar un ordenador en la red del objetivo. Este proceso no es detallada, es decir, agentes de la CIA puede usar lo que tienen a su disposición para lograr esta primera infección.

Este equipo se llama el "host primario" y se usa como un centro de infección. Cada vez que un usuario inserta una unidad flash USB en este huésped primario, los componentes de Brutal Kangaroo infectarán a la unidad de disco USB con software malicioso, distinta a la que infectó el huésped primario, y hecho a medida para las memorias USB.

Si el usuario toma esta unidad flash USB y se conecta a otro PC, este malware entra en la segunda etapa y se ejecutará e infectar a ese equipo también.

Equipos de Air-Gapped se infectaron a través de archivos de acceso directo maliciosos

Esta segunda etapa de malware lanzada sobre USB contaminada es extremadamente eficiente, basada en archivos con formato incorrecto de Windows LNK (acceso directo). Estos archivos LNK se ejecutará automáticamente su carga maliciosa cada vez que son vistos dentro de una ventana de Windows Explorer.

Este es el mismo tipo de ataque utilizado en los ataques de Stuxnet que apuntó al programa nuclear de Irán.

El responsable de este ataque son dos hazañas de la CIA llamado Giraffe y Okabi. Ambos apoyan la arquitectura de 32 bits y de 64 bits, pero OKABI parece más eficiente que su vector de ejecución es compatible con los equipos de destino que ejecutan Windows 7, 8 y 8.1. Por otro lado, la jirafa "vector de ejecución ha sido parcheado para todas las versiones de Windows excepto para Windows XP", de acuerdo a los datos en la página 3 y 4 del Manual Fecha límite de deriva.

El ataque de Brutal Kangaroo implica una gran dosis de suerte, ya que se basa en el usuario teniendo la unidad flash USB infectada y utilizarlo para transferir datos hacia y desde redes con Air-Gapped.

CIA puede coordinar las infecciones dentro de las redes con Air-Gapped

Brutal Kangaroo también está diseñado para soportar múltiples infecciones dentro de la misma red aislada. Esta característica está cubierto por la utilidad de la sombra que está instalada en huéspedes infectados a través de los archivos LNK maliciosos.

"Una vez que varias instancias de sombra están instalados y unidades compartidas, tareas y cargas útiles pueden ser enviados de vuelta y hacia adelante," el manual de lee.

El propósito de estas herramientas es para que los agentes de la CIA envien comandos nuevos en una red aislada infectada después de las tareas iniciales de sombra han sido ejecutados y datos inicial se ha recuperado (a través de Broken Promise instalado en el host primario).

Tareas Shadow iniciales y adicionales se pueden configurar a través de una aplicación de constructor, similar a la utilizada por Drifting Deadline.

Las nuevas versiones del programa malicioso Shadow se pueden generar de esta manera, que contiene nuevas instrucciones maliciosas. La CIA se basa en el mismo host primario y el malware de primera etapa para infectar nuevas unidades flash USB para entregar esta nueva versión oculta de malware a la misma red aislada.

Algunos programas antivirus detecta ataques de Brutal Kangaroo

De acuerdo con el manual de Drifting Deadline, de 23 de febrero, 2016, varios productos antivirus son capaces de detectar el malware Brutal Kangaroo. La lista incluye Avira, Bitdefender, Rising Antivirus, y Symantec.

Por otra parte, desde febrero de 2016, Microsoft ha publicado varias actualizaciones de seguridad parcheados fallas en el manejo de archivos LNK, incluyendo uno este mes de junio. Es difícil de creer que la CIA no desarrolló nuevos vectores de ejecución después de algunos de los vectores de la jirafa y OKABI fueron patchedd. A principios de este año, WikiLeaks se comprometió a trabajar con los proveedores de software para reparar algunas de las cuestiones que ha recibido a través de la bóveda 7 volcado. No está claro si el LNK problemas de Microsoft parcheado en los últimos meses están relacionados con Brutal canguro.

WikiLeaks publicó detalles sobre Brutal Kangaroo en marzo, cuando anunció su serie Bóveda 7. La mención inicial era un simple documento que incluía algunos detalles, a diferencia de las guías del usuario publicadas el 22 de junio.

En abril, Symantec publicó un informe de la CIA de como conectar herramientas de hacking filtrados por WikiLeaks a un grupo de espionaje cibernético llamado Longhorn responsable de al menos 40 cortes en 16 países.

Fecha actualización el 2017-6-22. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio Fuente:Wikileaks
redes Air-Gapped