ENGLISH

22 June, 2017

Today, June 22nd 2017, WikiLeaks publishes documents from the Brutal Kangaroo project of the CIA. Brutal Kangaroo is a tool suite for Microsoft Windows that targets closed networks by air gap jumping using thumbdrives. Brutal Kangaroo components create a custom covert network within the target closed network and providing functionality for executing surveys, directory listings, and arbitrary executables.

The documents describe how a CIA operation can infiltrate a closed network (or a single air-gapped computer) within an organization or enterprise without direct access. It first infects a Internet-connected computer within the organization (referred to as "primary host") and installs the BrutalKangaroo malware on it. When a user is using the primary host and inserts a USB stick into it, the thumbdrive itself is infected with a separate malware. If this thumbdrive is used to copy data between the closed network and the LAN/WAN, the user will sooner or later plug the USB disk into a computer on the closed network. By browsing the USB drive with Windows Explorer on such a protected computer, it also gets infected with exfiltration/survey malware. If multiple computers on the closed network are under CIA control, they form a covert network to coordinate tasks and data exchange. Although not explicitly stated in the documents, this method of compromising closed networks is very similar to how Stuxnet worked.

The Brutal Kangaroo project consists of the following components: Drifting Deadline is the thumbdrive infection tool, Shattered Assurance is a server tool that handles automated infection of thumbdrives (as the primary mode of propagation for the Brutal Kangaroo suite), Broken Promise is the Brutal Kangaroo postprocessor (to evaluate collected information) and Shadow is the primary persistence mechanism (a stage 2 tool that is distributed across a closed network and acts as a covert command-and-control network; once multiple Shadow instances are installed and share drives, tasking and payloads can be sent back-and-forth).

The primary execution vector used by infected thumbdrives is a vulnerability in the Microsoft Windows operating system that can be exploited by hand-crafted link files that load and execute programs (DLLs) without user interaction. Older versions of the tool suite used a mechanism called EZCheese that was a 0-day exploit until March 2015; newer versions seem use a similar, but yet unknown link file vulnerability (Lachesis/RiverJack) related to the library-ms functionality of the operating system.

Español

Ayer jueves WikiLeaks publicaba una nueva herramienta de la CIA conocida como BrutalKangaroo, diseñada para infectar máquinas que no están conectadas a Internet. Esta revelación forma parte del programa de filtraciones concido como Vault 7, a través del que están dando a conocer información clasificada de la agencia. En total hay más de 150 páginas de material publicadas por la web dirigida por Julian Assange. En ellas se describe a fondo BrutalKangaroo, comentando que contiene una gran colección de componentes destinados a atacar a ordenadores y redes que no están conectados a Internet. Entre las revelaciones de Vault 7 podemos encontrar el software diseñado para eviar filtraciones que utiliza la agencia de Inteligencia, CherryBlossom, dirigido al hackeo de dispositivos de red domésticos, e incluso Macs e iPhones. La CIA ha estado ocupada durante mucho tiempo.

BrutalKangaroo se utiliza para infectar unidades USB. Estas memorias después se insertarían en ordenadores que contienen información tan sensible que están aisladas de Internet. Es lo que se conoce como sistemas air-gapped.

Entre esos componentes encontramos Drifting Deadline, una herramienta que se instalaba en ordenadores de interés para la agencia. Esta herramienta era la encargada de infectar las memorias USB que se acoplase a la máquina infectada. Cuando después esa memoria pasaba a una máquina aislada, las infectaba con malware diseñado para la misión.

De acuerdo con lo que se ha publicado en medios como Ars Technica, estas memorias USB en ocasiones eran capaces de infectar ordenadores sin que los usuarios abriesen ningún archivo. Al parecer esto se conseguía gracias a un exploit conocido como EZCheese.

También se ha encontrado un exploit que funciona de manera similar para ordenadores que ejecutan Windows 7 conocido como Lachesis, y más adelante se utilizó otro llamado RiverJack dirigido a ordenadores que ejecutasen Windows 7, Windows 8 y Windows 8.1.

En cualquier caso, los documentos filtrados por WikiLeaks sugieren que para que una infección con BrutalKangaroo tenga éxito debe realizarse de forma manual. De ser así, entonces esta herramienta no son tan efectivos como los exploits usados, por ejemplo, en los ataques con Stuxnet.

Por desgracia los documentos filtrados ofrecen detalles muy limitados. Y como siempre, nadie relacionado con la CIA ha confirmado ni desmentido la autenticidad de los documentos que WikiLeaks va filtrando.

vía http://www.wikileaks.org
https://www.genbeta.com/seguridad/brutalkangaroo-la-herramienta-de-la-cia-para-infectar-maquinas-aisladas-de-internet
https://arstechnica.com/security/2017/06/leaked-documents-reveal-secret-cia-operation-for-infecting-air-gapped-pcs/

♥