patrizio.tufarolo

Brutal Kangaroo, il toolkit della CIA per reti air gap

Il sistema più sicuro al mondo è realmente quello non connesso a Internet? WikiLeaks rilascia in Vault7 dettagli su come la CIA effettua attacchi anche in modalità offline

Roma - Nell'ambito dell'operazione Vault7 è stata pubblicata su WikiLeaks la documentazione relativa a Brutal Kangaroo, un insieme di strumenti dei servizi segreti americani per infiltrarsi anche in reti air-gapped, mediante l'infezione di pendrive USB.

L'air gapping è una delle soluzioni genericamente proposte per assicurare un livello di sicurezza elevato per i sistemi particolarmente sensibili, e consiste nel collegare tali sistemi esclusivamente a reti separate fisicamente o logicamente.
Tale principio è generalmente utilizzato in sistemi ad uso militare, reti finanziarie, sistemi di controllo industriali (ad esempio SCADA) e più genericamente in tutti i sistemi critici.
In tali casi le uniche metodologie di attacco effettivamente attuabili prevedono l'utilizzo di dispositivi per trasferire dati sui suddetti sistemi in modalità offline, come ad esempio le pendrive USB.

È proprio questo, infatti, il meccanismo utilizzato da Brutal Kangaroo, il cui obiettivo è l'esecuzione di payload arbitari: l'attacco inizia con una fase preliminare nella quale viene infettata una macchina dell'organizzazione. Quando un utente collega una pendrive, questa viene infettata con il malware stesso, che si propagherà sui sistemi della rete air-gapped qualora la pendrive venga usata anche su questi (ad esempio per trasferire file).
Nel caso in cui le macchine infette appartenenti alla stessa rete air-gapped siano più di una, viene creata una rete di overlay per coordinare l'esecuzione di task e favorire lo scambio di dati.

Brutal Kangaro è un toolkit composto da quattro componenti:
1. Drifting Deadline - un'interfaccia grafica per facilitare la generazione dei componenti malevoli necessari ad effettuare l'attacco;
2. Shattered Assurance - un componente che, eseguito sui sistemi target, automatizza l'infezione di eventuali pendrive USB con i componenti generati da Drifting Deadline;
3. Shadow - utilizzato per il coordinamento e l'esecuzione distribuita di operazioni da eseguire sui sistemi infetti, specificate in un apposito file di configurazione;
4. Broken Promise - strumento per la valutazione e l'esfiltrazione dei dati raccolti.

In fase di configurazione di Drifting Deadline può essere scelto l'exploit da utilizzare come vettore per infettare i sistemi target e le eventuali configurazioni ad esso associate. Drifting Deadline supporta 3 exploit:
- EZCheese, exploit 0-day fino a marzo 2016, che sfrutta la vulnerabilità CVE 2015-0096 per eseguire codice arbitrario su Windows XP, senza necessità di interazione con gli utenti. L'esecuzione avviene tramite file LNK (collegamenti) appositamente forgiati e scatenata nel momento in cui il file LNK viene visualizzato in Explorer.
- Lachesis, exploit non ancora noto per Windows 7 che utilizza il file autorun.inf per eseguire il codice malevolo quando la pendrive viene collegata.
- RiverJack, exploit non noto che - similarmente ad EZCheese - esegue codice arbitrario sfruttando i file LNK. In questo caso però, l'esecuzione avviene anche se il file non viene visualizzato; la vulnerabilità risiede nella funzionalità library-ms, utilizzata per collegamenti speciali interni al sistema operativo. Le versioni di Windows supportate sono Windows 8 e Windows 8.1

Il payload può essere installato poi in due modalità: full on-disk (installa tutti i moduli sul disco, in modo persistente) e condensed on-disk, che crittografa tutti i dati necessari all'esecuzione in un blob. In entrambi i casi, anteponendo il carattere : (due punti) al nome del file, il malware viene scritto nella porzione del filesystem NTFS dedicata alla memorizzazione di metadati (ADS, Alternate Data Streams), rendendo il malware non individuabile.

La versione 10 di Windows sembra essere al momento immune a infezioni di questo tipo, tuttavia la documentazione pubblicata è riferita all'anno 2016 e non è escluso che non siano stati integrati altri exploit per edizioni più recente del sistema operativo di Redmond.

Alcuni antivirus, inoltre, sono in grado di rilevare, prevenire e bloccare le azioni di questo toolkit; la CIA stessa, a tal proposito, recensisce Symantec Endpoint, Avira Internet Security (in grado di bloccare l'esecuzione di autorun.inf) e BitDefender (in grado di bloccare l'attacco riconoscendo le azioni del malware).

Patrizio Tufarolo
6 Commenti alla Notizia Brutal Kangaroo, il toolkit della CIA per reti air gap
Ordina