Nell’ambito dell’operazione Vault7 è stata pubblicata su WikiLeaks la documentazione relativa a Brutal Kangaroo , un insieme di strumenti dei servizi segreti americani per infiltrarsi anche in reti air-gapped , mediante l’ infezione di pendrive USB .
L’ air gapping è una delle soluzioni genericamente proposte per assicurare un livello di sicurezza elevato per i sistemi particolarmente sensibili, e consiste nel collegare tali sistemi esclusivamente a reti separate fisicamente o logicamente .
Tale principio è generalmente utilizzato in sistemi ad uso militare, reti finanziarie, sistemi di controllo industriali (ad esempio SCADA ) e più genericamente in tutti i sistemi critici.
In tali casi le uniche metodologie di attacco effettivamente attuabili prevedono l’ utilizzo di dispositivi per trasferire dati sui suddetti sistemi in modalità offline , come ad esempio le pendrive USB.
È proprio questo, infatti, il meccanismo utilizzato da Brutal Kangaroo , il cui obiettivo è l’esecuzione di payload arbitari : l’attacco inizia con una fase preliminare nella quale viene infettata una macchina dell’organizzazione . Quando un utente collega una pendrive, questa viene infettata con il malware stesso , che si propagherà sui sistemi della rete air-gapped qualora la pendrive venga usata anche su questi (ad esempio per trasferire file).
Nel caso in cui le macchine infette appartenenti alla stessa rete air-gapped siano più di una, viene creata una rete di overlay per coordinare l’esecuzione di task e favorire lo scambio di dati.
Brutal Kangaro è un toolkit composto da quattro componenti:
1. Drifting Deadline – un’ interfaccia grafica per facilitare la generazione dei componenti malevoli necessari ad effettuare l’attacco;
2. Shattered Assurance – un componente che, eseguito sui sistemi target, automatizza l’infezione di eventuali pendrive USB con i componenti generati da Drifting Deadline ;
3. Shadow – utilizzato per il coordinamento e l’esecuzione distribuita di operazioni da eseguire sui sistemi infetti, specificate in un apposito file di configurazione;
4. Broken Promise – strumento per la valutazione e l’ esfiltrazione dei dati raccolti .
In fase di configurazione di Drifting Deadline può essere scelto l’exploit da utilizzare come vettore per infettare i sistemi target e le eventuali configurazioni ad esso associate. Drifting Deadline supporta 3 exploit:
– EZCheese , exploit 0-day fino a marzo 2016, che sfrutta la vulnerabilità CVE 2015-0096 per eseguire codice arbitrario su Windows XP, senza necessità di interazione con gli utenti. L’esecuzione avviene tramite file LNK (collegamenti) appositamente forgiati e scatenata nel momento in cui il file LNK viene visualizzato in Explorer.
– Lachesis , exploit non ancora noto per Windows 7 che utilizza il file autorun.inf per eseguire il codice malevolo quando la pendrive viene collegata.
– RiverJack , exploit non noto che – similarmente ad EZCheese – esegue codice arbitrario sfruttando i file LNK . In questo caso però, l’esecuzione avviene anche se il file non viene visualizzato; la vulnerabilità risiede nella funzionalità library-ms , utilizzata per collegamenti speciali interni al sistema operativo. Le versioni di Windows supportate sono Windows 8 e Windows 8.1
Il payload può essere installato poi in due modalità: full on-disk (installa tutti i moduli sul disco, in modo persistente) e condensed on-disk , che crittografa tutti i dati necessari all’esecuzione in un blob. In entrambi i casi, anteponendo il carattere : (due punti) al nome del file, il malware viene scritto nella porzione del filesystem NTFS dedicata alla memorizzazione di metadati ( ADS , Alternate Data Streams ), rendendo il malware non individuabile .
La versione 10 di Windows sembra essere al momento immune a infezioni di questo tipo, tuttavia la documentazione pubblicata è riferita all’anno 2016 e non è escluso che non siano stati integrati altri exploit per edizioni più recente del sistema operativo di Redmond.
Alcuni antivirus, inoltre, sono in grado di rilevare, prevenire e bloccare le azioni di questo toolkit; la CIA stessa, a tal proposito, recensisce Symantec Endpoint, Avira Internet Security (in grado di bloccare l’esecuzione di autorun.inf) e BitDefender (in grado di bloccare l’attacco riconoscendo le azioni del malware).
Patrizio Tufarolo