Zdokumentované nástroje CIA na infikovanie počítačov nepripojených na sieť

Značky: bezpečnosťWindows

DSL.sk, 23.6.2017

Americká zahraničná spravodajská služba CIA evidentne infikovala počítače nepripojené na počítačové siete a dokázala z nich získavať dáta, samozrejme bez fyzického prístupu k nim.

CIA totiž má vyvinutý balík nástrojov označovaných spoločným menom Brutal Kangaroo, ktorý jej toto umožňoval.

Infekcie aj následné získavanie dát je realizovaná cez USB kľúče.

Odhaľujú to nové dokumenty údajne uniknuté zo CIA zverejnené projektom WikiLeaks v rámci avizovanej série zverejňovaných dokumentov s označením Vault 7. Základný dokument, dokumentácia sady nástrojov, je datovaná na február 2016.

Počítače nepripojené do siete sú jedným z dôležitých bezpečnostných opatrení, ako nevystavovať počítače s dôležitými dátami alebo funkčnosťou prípadným útokom z Internetu. Pre spravodajské služby ide tak často o tie najzaujímavejšie ciele.

Základným prvkom nástroja Brutal Kangaroo sú tri exploity EZCheese, Lachesis a RiverJack, ktoré všetky dokážu infikovať Windows po zasunutí infikovaného USB kľúča bez potreby manuálneho spustenia infekcie. Všetky k tomu využívajú súbory .LNK odkazujúce na iné súbory. EZCheese je účinný ak sa zobrazia ikony súborov vo Windows Exploreri, Lachesis využíva autorun.inf a RiverJack library-ms.

Podľa stanoviska Microsoftu pre Arstechnica sú v súčasnosti všetky zneužívané zraniteľnosti už opravené vo všetkých podporovaných verziách Windows, kedy k ich opraveniu prišlo nie je jasné.

Exploity dopĺňa softvér Drifting Deadline, ktorý umožňuje manuálne vytvoriť infikovaný kľúč podľa zvolenej konfigurácie, a softvér Shattered Assurance, ktorý automaticky infikuje zasúvané USB kľúče. CIA zrejme tento softvér dostala na jeden z počítačov jej cieľa, napríklad na počítač pripojený na Internet, a tento následne mohol infikovať USB kľúče, používané napríklad samotnými používateľmi počítačov na prenos dát medzi Internetom a od siete izolovanými počítačmi.

Infikované USB kľúče následne po zastrčení do izolovaných počítačov infikovali aj tieto PC.

Na infikované počítače škodlivý kód následne inštaloval softvér Shadow, ktorý realizoval samotnú špehovaciu a exfiltrovaciu funkciu, dokázal vykonávať špecifické inštrukcie a napríklad vyhľadávať súbory podľa definovaných kritérií. Dáta následne vedel poslať naspäť do počítača, z ktorého ich prípadne CIA vedela dostať, opäť cez USB kľúče, napríklad skryté v tzv. Alternate Data Streamoch súborového systému NTFS, v existujúcich súboroch a napríklad obrázkoch.

Dokumenty priamo neriešia, ako zabezpečovala CIA prvotnú infekciu niektorého počítača cieľa softvérom Shattered Assurance. Tá sa dá zrejme ale realizovať ako akákoľvek iná infekcia.

Jedno univerzálne stopercentne účinné opatrenie pre firmy, organizácie a používateľov využívajúcich izolované počítače na základe týchto informácií pravdepodobne neexistuje. Vhodným postupom je ale aktualizovať operačný systém, keď aj podľa dokumentu CIA na niektorých verziách Windows boli exploity už odstránené a nakoniec boli podľa Microsoftu odstránené všade.

Účinnosť antivírusov proti novým verejne neznámym hrozbám je vo všeobecnosti nízka, podľa dokumentu z minulého roka ale štyri antivírusy dokázali zablokovať spustenie škodlivého kódu v prípade niektorých exploitov.

Opäť nástroje útočili na operačný systém Windows, ktorý je vzhľadom na jeho používanosť dôležitým cieľom aj CIA. Vhodným odporúčaním tak môže byť používať iný operačný systém alebo minimálne v tomto scenári napríklad samotné prenášané dáta prenášané medzi dvomi Windows počítačmi prekopírovávať na iný USB kľúč na počítači s iným OS, napríklad Linuxom. Rozšíreniu infekcie na izolované počítače by to konkrétne v tomto prípade zrejme zabránilo.




Najnovšie články:



Diskusia:

eeeee Od reg.: ujo horar | Pridané: 23.6.2017 12:49 a to tu uz nikto nic negarantuje? Odpovedať Známka: 7.6 Hodnotiť:

Re: eeeee Od: zeleno biely | Pridané: 23.6.2017 15:16 ... skus PrimaBanku... tam dostanes "vyssi"... Odpovedať Známka: 2.0 Hodnotiť:

Re: eeeee Od: Hroch_asdf | Pridané: 23.6.2017 15:20 Pozeral som ponuky na zero-day exploity a ani tam uz nie je nic garantovane: https://www.zerodium.com/program.html Odpovedať Známka: 3.3 Hodnotiť:

Re: eeeee Od: cierny peter | Pridané: 23.6.2017 15:48 najlepsia zabezpecovacia technika je nepouzivat pocitac, ale devinu, stretavat sa osobne za tvrdych bezpecnostnych opatreni dohadovat obchody... Policajtov a sudcov podplacat neuplatnych poriesi lojzo cistic a odhalenych konfidentov karol mello. Odpovedať Známka: 2.7 Hodnotiť:

Názvy Od: Generator | Pridané: 23.6.2017 12:52 +1 pre CIA za názvy. Odpovedať Známka: 9.0 Hodnotiť:

Brutal Kangaroo Od: xvzf | Pridané: 23.6.2017 13:02 skoro ako Ubuntu codename :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Názvy Od: HAARP | Pridané: 23.6.2017 13:17 Tie im vymýšlal ružový panter. Už chýba len správa že na Aljaške aktivovali zbraň posledného súdu. Odpovedať Známka: 2.7 Hodnotiť:

Re: Názvy Od: pokrok bez mŕtvol | Pridané: 24.6.2017 14:00 V 80.rokoch mali kód na odpálenie rakiet štandardné nastavený na 0000. Ale s logom a názvom sa vždy vyhrajú. Odpovedať Známka: 2.5 Hodnotiť:

Re: Názvy Od reg.: RB_    | Pridané: 9.7.2017 20:51 hej no, vyzerá to, že tam u nich majú vyhradené nejaké oddelenie špeciálne na tvorbu takýchto názvov :D Odpovedať Hodnotiť:

alternatíva ... Od reg.: Uhlik | Pridané: 23.6.2017 13:18 Úplne najlepšie riešenie je samozrejme tlačiť všetky tajné dokumenty cez zabezpečené wifi priamo vo veľkom kancli a v cieli ich prepisovať späť do PC (skenovanie neodporúčam, pretože aj tlačiareň môže tlačiť nejaké infekcie priamo na hotový papier). Odpovedať Známka: 8.9 Hodnotiť:

Link! Od: Purple hat | Pridané: 23.6.2017 13:25 Poprosím link na download. Ďakujem Odpovedať Známka: 6.7 Hodnotiť:

Re: Link! Od: qwertyui | Pridané: 23.6.2017 13:47 http://bit.ly/2tVXTRc Odpovedať Známka: 3.8 Hodnotiť:

Re: Link! Od: mUFOlon | Pridané: 23.6.2017 13:52 si pan! Odpovedať Známka: 4.5 Hodnotiť:

Re: Link! Od: asdfqwer | Pridané: 23.6.2017 14:42 Mozes stiahnut tu, tu, tu a tu. Odpovedať Známka: 10.0 Hodnotiť:

Hjsjjdjdj Od: Gertrudo | Pridané: 23.6.2017 13:58 Sranda co vsetko co ukazovali vo filmoch je vlastne realita. Odpovedať Známka: 8.0 Hodnotiť:

Re: Hjsjjdjdj Od: dnffdnfg | Pridané: 23.6.2017 14:04 v ktorých filmoch toto ukazovali? v tých, čo som videl ja bolo akurát okno na hesko cez pol obrazovky.... Odpovedať Známka: -5.0 Hodnotiť:

Re: Hjsjjdjdj Od: Mxxl | Pridané: 23.6.2017 15:44 Snowden.. ale neinfikovali priamo konkrétny počítač, to by pre dej nemalo zmysel, len to tam povedali a "urobili".. ale zas nie konkrétne toto, ale podobné :D Odpovedať Známka: -10.0 Hodnotiť:

Re: Hjsjjdjdj Od reg.: Richard F. | Pridané: 23.6.2017 16:30 šak to... taká sranda, až mrazí.. Odpovedať Známka: 2.0 Hodnotiť:

Re: Hjsjjdjdj Od: a718726 | Pridané: 23.6.2017 23:13 A to boli filmy z roku 2001, vtedy ked si aj paranoikovi povedal, ze chladnicka bude pocuvat, bol si za totalneho blazna. Dnes pozname smart chladnicky. Tym len hcem povedat, cokolvek ututlavane, ako napr lieky vs zdravie, pripadne UFO, sa kludne moze zaradit do rovnakej paranoidnej kategorie, ako v roku 2001 chladnicka s usami. Odpovedať Známka: 8.0 Hodnotiť:

fyzický prístup Od: xcgbcxhfxcj | Pridané: 23.6.2017 13:59 odkedy zasunutie USB kľúča nie je fyzický prístup k nemu??? Odpovedať Známka: 6.2 Hodnotiť:

Re: fyzický prístup Od: grigorij | Pridané: 23.6.2017 14:17 ...ale takyto fyzicky pristup je uz interny...nemusi to robit ziadny spion. urobi to napr zamestnanec a pod. Odpovedať Známka: 6.7 Hodnotiť:

Re: fyzický prístup Od: aleiste | Pridané: 23.6.2017 23:08 No ale ak mám citlive data, nepovolim neautorizovany hw, inak to mozem dat rovno na net. Odpovedať Známka: -1.4 Hodnotiť:

Re: fyzický prístup Od: JankaDSLKA | Pridané: 24.6.2017 18:13 Tiež si myslím že je to zavádzajúco napísané. Možno to fakt nie je fyzický prístup a ide to pomocou zvuku či elektriny, neviem ako sa to volá, tahý hoax :-D . Odpovedať Známka: 5.0 Hodnotiť:

USB a aktualizacie Od reg.: NikhajZzz | Pridané: 23.6.2017 14:25 Pri citani clanku ma trocha zaujala tema uktualizacii operacneho systemu. Ak PC nie je pripojene na siet a je teda bez internetoveho pripojenia, tak aktualizacie mohol instalovat jedine administrator s offline verziami. K tomuto mohol pouzivat USB kluc. Exploity vsak okrem usb kluca dokazu fungovat i na napalenych prepisovatelnych mediach ako CD ci DVD. Izolovane PC vsak kvoli bezpecnosti nemava tieto mechaniky. Bud teda sa aktualizacie robili cez USB alebo system nebol aktualizovany. Mozno sa dalo predpokladat, ze system je zastaraly a dostanu sa do neho. USB na takych PC je asi jedina cesta ako preniest data. Odpovedať Známka: 2.0 Hodnotiť:

Re: USB a aktualizacie Od: prdlajs | Pridané: 23.6.2017 16:59 Zabudas, ze na internej sieti moze byt WSUS server. A nanho sa rucne kopiruju aktualizacie z ineho WSUS servera, uz pripojeneho na internet. Tak mozes mat plne aktualizovane pocitace aj na internej sieti bez pristupu k internetu. A nie hned obvinovat chudaka admina zo vsetkeho. Odpovedať Známka: 8.2 Hodnotiť:

Re: USB a aktualizacie Od reg.: NikhajZzz | Pridané: 23.6.2017 22:38 Lenze v clanku sa pise prave o tom, ze PC neboli ani na internej sieti. Takze sa nemohlo aktualizovat pomocou servera. Nejde o ziadne obvinovanie a zhadzovanie prace admina. Vacsina ich to nemaju vo firmach vobec lahke. Ide len o domienky ako sa exploit dokaze dostat na take PC. Dnes su uz aj daleko premakanejsie riesenia ako je USB hack. Existuju uz aj moznosti lubovolne pc hacknut i na dialku cca do 70m vyuzitim podsunuteho mobilneho zariadenia. Raz tu bol tusim aj clanok o tom. USB je pre dnesnu dobu velmi lahky sposob ako sa dostat do PC. Odpovedať Známka: 3.3 Hodnotiť:

Re: USB a aktualizacie Od: Foter Loter | Pridané: 27.6.2017 11:53 Alebo pouzijes utilitku "WSUS Offline" na pocitaci s internetom stiahnes vsetky aktualizacie a prenesies ich na USB kluci na pocitac bez internetu a nainstalujes aktualizacie. Viac info tu : http://www.wsusoffline.net/docs/ Odpovedať Hodnotiť:

Re: USB a aktualizacie Od: a718726 | Pridané: 23.6.2017 23:15 A co tak HDD? FDD ? o 5 rokov tu moze byt clanok, ze CIA mala v jadre WINu backdoor, a aj fyzicke prepisovanie z PC na PC po bezpecnej klavesnici nic nepomohlo.. Odpovedať Hodnotiť:

Re: USB a aktualizacie Od: Aakot | Pridané: 24.6.2017 14:16 A naco ti je backdoor na izolovanom PC? To by ma fakt zaujimalo. Odpovedať Známka: -10.0 Hodnotiť:

proviro Od: pxd | Pridané: 23.6.2017 17:19 Vsak nebudem tam logicky pchat cudzi kluc,ak am mam dolezite data,ale svoj vlasnorucne formatnuty v linuxe,na to cia nemyslela? Ludia si platia za antivirusy a oni iba udajne styry z nich to zachytia ? Odpovedať Známka: -2.0 Hodnotiť:

.................. Od: tenodtal | Pridané: 23.6.2017 17:21 vy.ebem usb zasuvky z dosky a vsade kombinackami vy.ebem ven :D Odpovedať Známka: 2.5 Hodnotiť:

Re: .................. Od: Kolotocar | Pridané: 23.6.2017 19:22 Kurva, lebo zajebem plyn, ja jej vyjebem do vzduchu! Odpovedať Známka: 3.3 Hodnotiť:

2. plán Od reg.: poqyno | Pridané: 23.6.2017 18:20 Pozeráte na prvý plán, treba pozerať na druhý ba aj tretí. Vypustili info o programoch ktoré roky nevyužívajú a v dôsledku týchto informácií "ajťáci" celého sveta odporúčajú jediné správne riešenie: aktualizovať. Môžeme z pravdepodobnosťou hraničiacou s istotou predpokladať, že EZCLcRvrJck2.0 je súčasťou týchto aktualizácií? Odpovedať Známka: 7.1 Hodnotiť:

.lnk virus Od: PeterPanPan | Pridané: 23.6.2017 20:52 Zhodou okolnosti sme pred cca. 2 tyzdnami mali problem s USB klucmi na ktorych bolo "System Volume Information" zmenene na "System Volume Information.lnk" - samozrejme to odkazovalo nasledne VBSko ktore potom infikovalo system - do scheduleru nahodilo opakujuci sa proces.. a ESET to nechytil pretoze Windows sa k tomu dostal skor ako ESET.. uzasne, uz viem odkial to prislo.. Odpovedať Známka: 6.4 Hodnotiť:

Re: .lnk virus Od: nie peter | Pridané: 26.6.2017 10:00 Tá háveď sa potom aj celkom vtipne odstraňuje zo systému. Nezachytil to ani malwarebytes, ani žiadny iný antivír čo som skúšal. Vyriešil som odobraním práv na vykonávanie scriptov systému. Odpovedať Hodnotiť:

nemam predstavu Od: a718726 | Pridané: 23.6.2017 23:20 A co takto to obist cez nejaky tienovy PC ? online PC chyti ten malware, cez USB ho prenesiem do prveho offline PC, ten moze byt infikovany, nevadi, pretoze dane USB uz nikdy nepouzijem v online PC. Otazne je, ci potrebujem z offline PC dostat dat do online PC. Odpovedať Hodnotiť:

Pre Pellegriniho a SIS Od: Muad'Dib | Pridané: 25.6.2017 7:04 Toto by si mal prečítať Pellegrini a úradníci z SIS, ktorí každoročne píšu správu o činnosti SIS. Odpovedať Hodnotiť:

Pridať komentár