Brutal Kangaroo, il toolkit della CIA per reti air gap

Il sistema più sicuro al mondo è realmente quello non connesso a Internet? WikiLeaks rilascia in Vault7 dettagli su come la CIA effettua attacchi anche in modalità offline

Roma – Nell’ambito dell’operazione Vault7 è stata pubblicata su WikiLeaks la documentazione relativa a Brutal Kangaroo , un insieme di strumenti dei servizi segreti americani per infiltrarsi anche in reti air-gapped , mediante l’ infezione di pendrive USB .

L’ air gapping è una delle soluzioni genericamente proposte per assicurare un livello di sicurezza elevato per i sistemi particolarmente sensibili, e consiste nel collegare tali sistemi esclusivamente a reti separate fisicamente o logicamente .
Tale principio è generalmente utilizzato in sistemi ad uso militare, reti finanziarie, sistemi di controllo industriali (ad esempio SCADA ) e più genericamente in tutti i sistemi critici.
In tali casi le uniche metodologie di attacco effettivamente attuabili prevedono l’ utilizzo di dispositivi per trasferire dati sui suddetti sistemi in modalità offline , come ad esempio le pendrive USB.

È proprio questo, infatti, il meccanismo utilizzato da Brutal Kangaroo , il cui obiettivo è l’esecuzione di payload arbitari : l’attacco inizia con una fase preliminare nella quale viene infettata una macchina dell’organizzazione . Quando un utente collega una pendrive, questa viene infettata con il malware stesso , che si propagherà sui sistemi della rete air-gapped qualora la pendrive venga usata anche su questi (ad esempio per trasferire file).

Nel caso in cui le macchine infette appartenenti alla stessa rete air-gapped siano più di una, viene creata una rete di overlay per coordinare l’esecuzione di task e favorire lo scambio di dati.

Brutal Kangaro è un toolkit composto da quattro componenti:
1. Drifting Deadline – un’ interfaccia grafica per facilitare la generazione dei componenti malevoli necessari ad effettuare l’attacco;
2. Shattered Assurance – un componente che, eseguito sui sistemi target, automatizza l’infezione di eventuali pendrive USB con i componenti generati da Drifting Deadline ;
3. Shadow – utilizzato per il coordinamento e l’esecuzione distribuita di operazioni da eseguire sui sistemi infetti, specificate in un apposito file di configurazione;
4. Broken Promise – strumento per la valutazione e l’ esfiltrazione dei dati raccolti .

In fase di configurazione di Drifting Deadline può essere scelto l’exploit da utilizzare come vettore per infettare i sistemi target e le eventuali configurazioni ad esso associate. Drifting Deadline supporta 3 exploit:
EZCheese , exploit 0-day fino a marzo 2016, che sfrutta la vulnerabilità CVE 2015-0096 per eseguire codice arbitrario su Windows XP, senza necessità di interazione con gli utenti. L’esecuzione avviene tramite file LNK (collegamenti) appositamente forgiati e scatenata nel momento in cui il file LNK viene visualizzato in Explorer.
Lachesis , exploit non ancora noto per Windows 7 che utilizza il file autorun.inf per eseguire il codice malevolo quando la pendrive viene collegata.
RiverJack , exploit non noto che – similarmente ad EZCheese – esegue codice arbitrario sfruttando i file LNK . In questo caso però, l’esecuzione avviene anche se il file non viene visualizzato; la vulnerabilità risiede nella funzionalità library-ms , utilizzata per collegamenti speciali interni al sistema operativo. Le versioni di Windows supportate sono Windows 8 e Windows 8.1

Il payload può essere installato poi in due modalità: full on-disk (installa tutti i moduli sul disco, in modo persistente) e condensed on-disk , che crittografa tutti i dati necessari all’esecuzione in un blob. In entrambi i casi, anteponendo il carattere : (due punti) al nome del file, il malware viene scritto nella porzione del filesystem NTFS dedicata alla memorizzazione di metadati ( ADS , Alternate Data Streams ), rendendo il malware non individuabile .

La versione 10 di Windows sembra essere al momento immune a infezioni di questo tipo, tuttavia la documentazione pubblicata è riferita all’anno 2016 e non è escluso che non siano stati integrati altri exploit per edizioni più recente del sistema operativo di Redmond.

Alcuni antivirus, inoltre, sono in grado di rilevare, prevenire e bloccare le azioni di questo toolkit; la CIA stessa, a tal proposito, recensisce Symantec Endpoint, Avira Internet Security (in grado di bloccare l’esecuzione di autorun.inf) e BitDefender (in grado di bloccare l’attacco riconoscendo le azioni del malware).

Patrizio Tufarolo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • IL NORD scrive:
    VIA GLI ZINGARI !!!
    [img]http://www.rivieraoggi.it/wp-content/uploads/2009/11/manifesto[1][1].jpg[/img]
  • bubba scrive:
    ma non vi siete scordati questo?
    New upstream microcode datafile 20170511da cui : https://downloadcenter.intel.com/download/26798/Linux-ProXXXXXr-Microcode-Data-File
    • giaguarevol issimevolm ente scrive:
      Re: ma non vi siete scordati questo?
      Scordati che?Che anche il microcodice è appunto "codice"?'Ndo sta la novità?
  • linetta__ scrive:
    ma si può fare una cappella così?
    Come è possibile che non siano riusciti a prevenire un'a cappella simile, con tutti quei sistemi moderni per testare milioni di combinazioni?
    • ... scrive:
      Re: ma si può fare una cappella così?
      - Scritto da: linetta__
      Come è possibile che non siano riusciti a
      prevenire un'a cappella simile, con tutti quei
      sistemi moderni per testare milioni di
      combinazioni?milioni != tutte
    • Nicola Serra scrive:
      Re: ma si può fare una cappella così?
      Non vengono provate tutte le combinazioni possibili anche perché sarebbe impossibile, si usa la logica informatica per dimostrare che il codice sia corretto ma queste dimostrazioni in genere richiedono 10 volte il tempo di progettazione (dati Intel).Non è così difficile pensare che si possano commettere degli errori in questa fase.
  • MaoMao scrive:
    Thank You
    Beh basta disattivare l'HT no?Il mio quad l'ha disattivata di default. Ora la disattivo anche per il dual e tutto risolto, grazie mille per questa importante INFO.
    • ... scrive:
      Re: Thank You
      - Scritto da: MaoMao
      Beh basta disattivare l'HT no?
      Il mio quad l'ha disattivata di default. Ora la
      disattivo anche per il dual e tutto risolto,
      grazie mille per questa importante
      INFO.Consiglio: usa un solo core per volta. Andrà ancora meglio.
    • Max scrive:
      Re: Thank You
      - Scritto da: MaoMao
      Beh basta disattivare l'HT no?
      Il mio quad l'ha disattivata di default. Ora la
      disattivo anche per il dual e tutto risolto,
      grazie mille per questa importante
      INFO.Eh, mossa molto furba direi... 8)
  • iRoby scrive:
    intel al tappeto!
    Arriva proprio nel periodo della rinascita di AMD...Mamma che colpo per intel.Stanno testando i sample di Epic i concorrenti degli Xeon. Hanno prestazioni ottime!
    • maxsix scrive:
      Re: intel al tappeto!
      - Scritto da: iRoby
      Arriva proprio nel periodo della rinascita di
      AMD...
      Mamma che colpo per intel.

      Stanno testando i sample di Epic i concorrenti
      degli Xeon. Hanno prestazioni
      ottime!Guarda, te lo lancio eh, ma riportalo.https://www.cvedetails.com/cve/CVE-2017-7262/Vai.
      • bubba scrive:
        Re: intel al tappeto!
        - Scritto da: maxsix
        - Scritto da: iRoby

        Arriva proprio nel periodo della rinascita di

        AMD...

        Mamma che colpo per intel.



        Stanno testando i sample di Epic i
        concorrenti

        degli Xeon. Hanno prestazioni

        ottime!

        Guarda, te lo lancio eh, ma riportalo.

        https://www.cvedetails.com/cve/CVE-2017-7262/

        Vai.(...) Members of the HWBot forums found that Ryzen powered machines crash on running the Haswell -specific binary, at "Single-Precision - 128-bit FMA3 - Fused Multiply Add." The Haswell-specific binary (along with, we imagine, Skylake), adds support for the FMA3 instruction-set, which Ryzen supports, and which lends some importance to the discovery of this bug(..)inzomma intel porta sfiga anche alla concorrenza :) tipo giona :P
    • sono sereno scrive:
      Re: intel al tappeto!
      neanche AMD è messa bene con Ryzen:1) bug FMA3 (risolto)2) bug VME (non risolto)3) segfault durante la compilazione con gcc (non risolto)4) problemi all'hyperthreading che sballano il proXXXXXre (non risolto)il bug 2) riguarda solo l'emulazione di roba 16bit quindi ha un impatto molto basso ma il 3) e il 4) sono grossi e non c'è ancora nessuna notizia/aggiornamento al riguardo.
      • cantinaro no dual boot scrive:
        Re: intel al tappeto!
        - Scritto da: sono sereno
        neanche AMD è messa bene con Ryzen:

        1) bug FMA3 (risolto)
        2) bug VME (non risolto)
        3) segfault durante la compilazione con gcc (non
        risolto) Ahhhhhh, ma bene! Un prodotto linuz-friendly :'(.Alla larga.
        4) problemi all'hyperthreading che sballano il
        proXXXXXre (non
        risolto)

        il bug 2) riguarda solo l'emulazione di roba
        16bit quindi ha un impatto molto basso ma il 3) e
        il 4) sono grossi e non c'è ancora nessuna
        notizia/aggiornamento al
        riguardo.
      • maxsix scrive:
        Re: intel al tappeto!

        3) segfault durante la compilazione con gcc (non
        risolto)Azz. Link?
        • giaguarevol issimevolm ente scrive:
          Re: intel al tappeto!
          - Scritto da: maxsix

          3) segfault durante la compilazione con gcc
          (non

          risolto)

          Azz. Link?(rotfl)(rotfl)(rotfl)certo che il boccalone abocca proprio a tutte le esche![yt]iAY6fM4sGKE[/yt]
          • ... scrive:
            Re: intel al tappeto!
            Hanno postato il link, hai fatto la figura del XXXXX.
          • giaguarevol issimevolm ente scrive:
            Re: intel al tappeto!
            - Scritto da: ...
            Hanno postato il link, hai fatto la figura del
            XXXXX.Idiote dillo a maxsix lui ha chiesto il link io lo ho come sempre preso per i fondelli!Pirlo!
        • sono sereno scrive:
          Re: intel al tappeto!
          https://community.amd.com/thread/215773
          • giaguarevol issimevolm ente scrive:
            Re: intel al tappeto!
            - Scritto da: sono sereno
            https://community.amd.com/thread/215773Pure io..."-mno-fma" do you know gcc? :D :D
          • Ale scrive:
            Re: intel al tappeto!
            - Scritto da: giaguarevol issimevolm ente
            - Scritto da: sono sereno

            https://community.amd.com/thread/215773
            Pure io...
            "-mno-fma" do you know gcc?
            :D :DVisto che utilizzo gentoo , se non erro avevo letto che è normale se si usa un vecchio gcc
  • prova123 scrive:
    veneranda tecnologia ?
    meglio vetusta tecnologia gestita anche male
  • ruppolo scrive:
    Che schifo...
    ...questo merdux(apple)(apple)(apple)
Chiudi i commenti