O WikiLeaks publicou um novo lote de documentos da série Vault7 que detalha como o programa “Brutal Kangaroo” da CIA é usado para se infiltrar nas redes mais seguras do mundo.
O Brutal Kangaroo, uma suíte de ferramentas para atacar o Microsoft Windows, almeja redes desconectadas, também conhecidas como air-gapped, utilizando pen drives USB como trampolim para disseminação do malware nestas redes, de acordo com o WikiLeaks.
Air-gapping é uma medida de segurança empregada para garantir que uma rede segura de computadores esteja fisicamente isolada de redes não seguras. Desta forma, computadores participantes de redes desconectadas (air-gapped), como os utilizados em usinas nucleares, sem acesso à Internet ou quaisquer outras redes externas, eram considerados os computadores mais seguros do planeta, entretanto, nos últimos anos começaram a se tornar alvos regulares.
“Essas redes são usadas por instituições financeiras, agências militares e de inteligência, a indústria de energia nuclear e também algumas redes de notícias, para proteger fontes”, explica Stefania Maurizi, jornalista do La Repubblica.
Os documentos recém-lançados detalham como redes desconectadas podem ser comprometidas pelo malware. No entanto, a ferramenta funciona apenas em computadores com sistema operacional Windows.
O processo de contaminação é bastante complexo e necessita de múltiplos passos para ter sucesso. Como a maioria dos malwares para redes desconectadas, esta ferramenta de hacking inicialmente contamina um computador conectado à Internet dentro da organização e instala o malware Brutal Kangaroo nele. Esse processo não é detalhado, o que significa que os agentes da CIA podem usar o que eles têm a disposição para obter sucesso nesta primeira contaminação. Este computador é chamado de “host principal” e é usado como hub de contaminação.
Agora, assim que algum funcionário da organização inserir um pen drive USB no computador infectado, o “Shattered Assurance”, uma ferramenta servidora, contamina a unidade USB com um malware secundário chamado de “Drifting Deadline” (também conhecido como “Emotional Simian” na última versão).
O pen drive USB é contaminado com a ajuda de uma falha no sistema operacional Windows que pode ser explorada através de arquivos de link (.lnk) para carregar e executar programas (DLLs) sem a intervenção do usuário.
“Os arquivos .lnk devem ser visualizados no Windows Explorer, e a ferramenta será executada automaticamente sem nenhuma entrada adicional”, diz o manual.
Quando o pen drive USB contaminado é usado para compartilhar dados com os computadores participantes da rede desconectada, o malware se espalha para esses sistemas também.
Se vários computadores na rede desconectada estiverem sob controle da CIA, eles “formam uma rede secreta para coordenar tarefas e trocar dados”, de acordo com o Wikileaks.
“Os componentes do Brutal Kangaroo criam uma rede secreta personalizada dentro da rede desconectada e fornecem funcionalidades para a execução de pesquisas, listagens de diretórios e execução de programas arbitrários”, diz o manual da CIA.
O malware então começa a coletar dados dos computadores infectados participantes da rede desconectada em segredo e um módulo embutido no Brutal Kangaroo, apelidado de “Broken Promise”, analisa os dados buscando por informações úteis.
“Os dados relevantes coletados ao longo do tempo podem ser enviados de volta à CIA. Entretanto, isso depende que alguém conecte o pen drive USB usado no computador da rede desconectada novamente em um algum computador conectado à Internet. E assim, o ciclo está completo”, destaca Renato Andalik, especialista em Tecnologia e Cibersegurança e cofundador da Ertech Systems.
Embora não pareça o projeto mais eficiente da CIA, ele possibilita que a agência de inteligência se infiltre em redes fechadas, teoricamente ultra seguras.
Este método é comparável ao Stuxnet, descoberto em 2010. Considerada a primeira arma digital do mundo, esse malware supostamente governamental foi projetado especificamente para atacar o Sistema de Supervisão e Aquisição de Dados, ou SCADA, desenvolvido pela Siemens e usado para controlar as centrífugas de enriquecimento de urânio iranianas.
A CIA alegadamente começou a desenvolver o programa Brutal Kangaroo em 2012, ou seja, dois anos após o incidente com Stuxnet no Irã.
Desde fevereiro de 2016, a Microsoft emitiu várias atualizações de segurança que corrigiam falhas no gerenciamento de arquivos LNK, incluindo um neste mês. No início deste ano, o WikiLeaks prometeu trabalhar com os fornecedores de software para corrigir alguns dos principais problemas que identificaram nos documentos vazados. Não está claro se os problemas com o LNK da Microsoft corrigidos nos últimos meses estão relacionados ao Brutal Kangaroo.
Adicionalmente, vários antivírus já são capazes de detectar o malware Brutal Kangaroo. A lista inclui Avira, BitDefender, Rising Antivirus e Symantec.
“Vale ressaltar que o WikiLeaks publicou algumas informações sobre o Brutal Kangaroo em março, quando anunciou a série Vault7. A menção inicial foi um documento simples que incluiu poucos detalhes, ao contrário dos guias e manuais divulgados nos últimos dias”, conclui Andalik.