Τετάρτη 23 Αυγούστου 2017

WikiLeaks Brutal Kangaroo: εργαλεία της CIA για air-gapped υπολογιστές

Εικόνα THN
WikiLeaks Brutal Kangaroo: Το WikiLeaks δημοσίευσε online περισσότερα απόρρητα έγγραφα της CIA που περιγράφουν hacking εργαλεία της υπηρεσίας. Αυτή τη φορά το λογισμικό που περιγράφει αναφέρεται σαν Brutal Kangaroo, και μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.

Τα έγγραφα που δημιουργήθηκαν αρχικά στις 11 Μαΐου 2015 και αναθεωρήθηκαν στις 23 Φεβρουαρίου του επόμενου έτους, περιγράφουν το project Brutal Kangaroo, το οποίο χρησιμοποιεί παραβιασμένους υπολογιστές με Windows για τη διάδοση κακόβουλων προγραμμάτων σε μη δικτυωμένα μηχανήματα μέσω USB sticks.

Η σουίτα της CIA που δημοσίευσε το WikiLeaks, αντικαθιστά προηγούμενα εργαλεία της υπηρεσίας που ονόμαζαν EZCheese και Emotional Simian, ένα είδος cyber-weapon που χρησιμοποιούσε η αμερικανική υπηρεσία πληροφοριών για να διαδώσει το Stuxnet.


Σύμφωνα με τον οδηγό χρήσης [PDF], το λογισμικό αποτελείται από τέσσερις συγκεκριμένες εφαρμογές.

Το Shattered Assurance είναι ο κώδικας της πλευράς του διακομιστή που αποτελεί τη βάση του συστήματος επίθεσης και μολύνει τους δίσκους USBG που είναι συνδεδεμένοι σε μολυσμένο υπολογιστή με το κακόβουλο λογισμικό Drifting Deadline.

Μόλις μια μολυσμένη μονάδα δίσκου αντίχειρα συνδεθεί σε έναν υπολογιστή τρέχει αυτόματα το περιεχόμενό του και χρησιμοποιεί τα Windows 7 σαν λειτουργικό σύστημα. Αμέσως μετά  εκτελώντας το .Net 4.5, το Drifting Deadline σερβίρει το Shadow malware στο σύστημα.

Το Shadow malware είναι ένα πολύ παλιό λογισμικό – το εγχειρίδιο χρήσης [PDF] χρονολογείται από τις 31 Αυγούστου 2012 – και διαθέτει δύο εκδόσεις πελάτη και διακομιστή. Είναι πολύ ιδιαίτερα διαμορφωμένο για συγκεκριμένους στόχους. Ο χειριστής μπορεί να το ρυθμίσει για να συλλέξει δεδομένα συστήματος μέχρι και 10% της μνήμης του συστήματος, να υδατογραφήσει όλα τα δεδομένα που συλλέγει και να τα αποθηκεύσει σε κρυπτογραφημένο διαμέρισμα στο σκληρό δίσκο του μολυσμένου υπολογιστή.

Μόλις ολοκληρωθεί η μόλυνση, το Shadow θα αναζητήσει άλλα συνδεδεμένα συστήματα και θα τα μολύνει. Μπορεί να ρυθμιστεί για να τοποθετήσει τα  δεδομένα που υπέκλεψε σε οποιαδήποτε νέα μονάδα δίσκου είναι εγκατεστημένη στο σύστημα ή να την στείλει κάπου αν ανιχνεύσει κάποια ανοιχτή σύνδεση στο διαδίκτυο. 

Η τελευταία εφαρμογή στο Brutal Kangaroo είναι το Broken Promise, το οποίο είναι ένα εργαλείο που χρησιμοποιείται για την εύκολη και γρήγορη εξέταση δεδομένων. Συνολικά, η σουίτα του Brutal Kangaroo θα μπορούσε να είναι πολύ χρήσιμη για την εξουδετέρωση air-gapped μηχανών που συνήθως χρησιμοποιούν για περισσότερη ασφάλεια τα εσωτερικά δίκτυα εταιρειών.

Δεν υπάρχει τίποτα πολύ περίεργο στη σουίτα Brutal Kangaroo που κυκλοφόρησε το WikiLeaks στο πλαίσιο του αρχείου Vault 7. Το λογισμικό που περιγράφεται είναι κάτι που θα περιμέναμε να χρησιμοποιεί μια υπηρεσία πληροφοριών.

Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.

Year Zero” η CIΑ εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
Dark Matter” exploits που στοχεύουν iPhones και Mac.
Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIΑ για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.

“Archimedes”– ένα εργαλείο επίθεσης MitM που φέρεται ότι δημιούργησε η CIΑ για τη στοχοθέτηση υπολογιστών μέσα σε ένα τοπικό δίκτυο (LAN).
Scribbles” ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.
Athena:έχει σχεδιαστεί για να μπορεί να αποκτήσει απόλυτα τον πλήρη έλεγχο των μολυσμένων υπολογιστών Windows, επιτρέποντας στην CIΑ να εκτελεί πάρα πολλές λειτουργίες στο μηχάνημα-στόχο, όπως διαγραφή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού, κλοπής δεδομένων και αποστολής τους σε servers της CIΑ.
CherryBlossom εργαλείο που παρακολουθεί τη δραστηριότητα στο διαδίκτυο ενός στόχου, να ανακατευθύνει το πρόγραμμα περιήγησης, να ανιχνεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου και πολλά άλλα, μέσω του router.
Brutal Kangaroo: εργαλείο που μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.

πηγή

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου