Menu Sidebar
Menu

Cyber-arma secreta da CIA pode se infiltrar nas redes mais seguras do mundo

O WikiLeaks publicou um novo lote de documentos da série Vault7 que detalha como o programa “Brutal Kangaroo” da CIA é usado para se infiltrar nas redes mais seguras do mundo.

O Brutal Kangaroo, uma suíte de ferramentas para atacar o Microsoft Windows, almeja redes desconectadas, também conhecidas como air-gapped, utilizando pen drives USB como trampolim para disseminação do malware nestas redes, de acordo com o WikiLeaks.

Air-gapping é uma medida de segurança empregada para garantir que uma rede segura de computadores esteja fisicamente isolada de redes não seguras. Desta forma, computadores participantes de redes desconectadas (air-gapped), como os utilizados em usinas nucleares, sem acesso à Internet ou quaisquer outras redes externas eram considerados os computadores mais seguros do planeta, entretanto, nos últimos anos começaram a se tornar alvos regulares.

“Essas redes são usadas por instituições financeiras, agências militares e de inteligência, a indústria de energia nuclear e também algumas redes de notícias, para proteger fontes”, explica Stefania Maurizi, jornalista do La Repubblica.

Os documentos recém-lançados detalham como redes desconectadas podem ser comprometidas pelo malware. No entanto, a ferramenta funciona apenas em computadores com sistema operacional Windows.

O processo de contaminação é bastante complexo e necessita de múltiplos passos para ter sucesso. Como a maioria dos malwares para redes desconectadas, esta ferramenta de hacking inicialmente contamina um computador conectado à Internet dentro da organização e instala o malware Brutal Kangaroo nele. Esse processo não é detalhado, o que significa que os agentes da CIA podem usar o que eles têm a disposição para obter sucesso nesta primeira contaminação. Este computador é chamado de “host principal” e é usado como hub de contaminação.

Agora, assim que algum funcionário da organização inserir um pen drive USB no computador infectado, o “Shattered Assurance”, uma ferramenta servidora, contamina a unidade USB com um malware secundário chamado de “Drifting Deadline” (também conhecido como “Emotional Simian” na última versão).

O pen drive USB é contaminado com a ajuda de uma falha no sistema operacional Windows que pode ser explorada através de arquivos de link (.lnk) para carregar e executar programas (DLLs) sem a intervenção do usuário.

“Os arquivos .lnk devem ser visualizados no Windows Explorer, e a ferramenta será executada automaticamente sem nenhuma entrada adicional”, diz o manual.

Quando o pen drive USB contaminado é usado para compartilhar dados com os computadores participantes da rede desconectada, o malware se espalha para esses sistemas também.

Se vários computadores na rede desconectada estiverem sob controle da CIA, eles “formam uma rede secreta para coordenar tarefas e trocar dados”, de acordo com o Wikileaks.

“Os componentes do Brutal Kangaroo criam uma rede secreta personalizada dentro da rede desconectada e fornecem funcionalidades para a execução de pesquisas, listagens de diretórios e execução de programas arbitrários”, diz o manual da CIA.

O malware então começa a coletar dados dos computadores infectados participantes da rede desconectada em segredo e um módulo embutido no Brutal Kangaroo, apelidado de “Broken Promise”, analisa os dados buscando por informações úteis.

“Os dados relevantes coletados ao longo do tempo podem ser enviados de volta à CIA. Entretanto, isso depende que alguém conecte o pen drive USB usado no computador da rede desconectada novamente em um algum computador conectado à Internet. E assim, o ciclo está completo”, destaca Renato Andalik, especialista em Tecnologia e Cibersegurança e cofundador da Ertech Systems.

Embora não pareça o projeto mais eficiente da CIA, ele possibilita que a agência de inteligência se infiltre em redes fechadas, teoricamente ultra seguras.

Este método é comparável ao Stuxnet, descoberto em 2010. Considerada a primeira arma digital do mundo, esse malware supostamente governamental foi projetado especificamente para atacar o Sistema de Supervisão e Aquisição de Dados, ou SCADA, desenvolvido pela Siemens e usado para controlar as centrífugas de enriquecimento de urânio iranianas.

A CIA alegadamente começou a desenvolver o programa Brutal Kangaroo em 2012, ou seja, dois anos após o incidente com Stuxnet no Irã.

Desde fevereiro de 2016, a Microsoft emitiu várias atualizações de segurança que corrigiam falhas no gerenciamento de arquivos LNK, incluindo um neste mês. No início deste ano, o WikiLeaks prometeu trabalhar com os fornecedores de software para corrigir alguns dos principais problemas que identificaram nos documentos vazados. Não está claro se os problemas com o LNK da Microsoft corrigidos nos últimos meses estão relacionados ao Brutal Kangaroo.

Adicionalmente, vários antivírus já são capazes de detectar o malware Brutal Kangaroo. A lista inclui Avira, BitDefender, Rising Antivirus e Symantec.

“Vale ressaltar que o WikiLeaks publicou algumas informações sobre o Brutal Kangaroo em março, quando anunciou a série Vault7. A menção inicial foi um documento simples que incluiu poucos detalhes, ao contrário dos guias e manuais divulgados nos últimos dias”, conclui Andalik.

*Este artigo foi publicado na Security Report.

WikiLeaks revela documentos sobre vigilância clandestina à roteadores Wi-Fi pela CIA

O seu roteador Wi-Fi no canto da sala, negligenciado há muito tempo, acumulando poeira e falhas de segurança não corrigidas tem sido um ponto de entrada atrativo para hackers há anos, incluindo a CIA.

Um recente documento secreto de 175 páginas vazado pelo WikiLeaks em 15 de Junho revelou que a CIA tem visado e comprometido roteadores Wi-Fi e pontos de acesso (APs) por anos em um esforço para ampliar sua campanha de vigilância clandestina. Alguns dos documentos revelados datam de 2007, o que significa que a agência vem praticando estes ataques há pelo menos uma década. Entre as dezenas de arquivos estão guias de usuário e instalação, manuais, mapas e gráficos “secretos” que revelam vários conjuntos de ferramentas de hacking de roteadores Wi-Fi.

A ferramenta entitulada CherryBlossom é um sistema multiuso desenvolvido para invadir dezenas de modelos de roteadores Wi-Fi domésticos e corporativos. De acordo com um dos documentos, a CIA realizou, até meados de 2012, implantes para cerca de 25 dispositivos diferentes de 10 fabricantes diferentes, incluindo Asus, Belkin, D-Link, Linksys e Netgear, mas pode ser executado em mais de 100 com pequenas modificações.

O que faz os roteadores serem um alvo tão atraente é que eles são muitas vezes repletos de falhas de segurança que facilitam sua exploração.

“Não há um sinal para dizer se o seu roteador foi invadido ou não – você continua navegando na internet normalmente”, destaca Renato Andalik, especialista em tecnologia e cibersegurança e diretor da Ertech Systems. “A única diferença é que tudo o que você está fazendo na internet agora está passando pela CIA”.

A ferramenta é, de longe, uma das mais sofisticadas estruturas de malware da CIA. O objetivo da CherryBlossom é permitir que os agentes da CIA interajam e controlem os roteadores Wi-Fi na rede das vítimas.

A parte mais complexa do uso do CherryBlossom está na contaminação do roteador Wi-Fi. De acordo com a documentação, tudo começa com uma ferramenta chamada Claymore, que pode escanear a rede para identificar dispositivos e, em seguida, lançar ataques contra os roteadores encontrados. Isso pode ser feito com acesso físico ao dispositivo ou mesmo remotamente, explorando vulnerabilidades existentes em alguns roteadores que permitam que os agentes da CIA instalem um firmware modificado no dispositivo.

Os documentos vazados também citam dois exploits utilizados pela ferramenta, chamados Tomato e Surfside. O Tomato parece explorar vulnerabilidades em roteadores vendidos pela D-Link e Linksys e foi projetado para roubar as senhas administrativas desses dispositivos. Já o Surfside não há detalhes, embora a documentação sugira que ele possa abusar de um protocolo chamado UPNP, incorporado inclusive em milhares de outros dispositivos, como impressoras, players de mídia e TVs inteligentes. Vale ressaltar que a comunidade de segurança tem alertado a indústria de tecnologia sobre os problemas de segurança associados ao uso do protocolo UPNP há anos.

Os roteadores Wi-Fi protegidos com a senha padrão ou fraca são facilmente infectados, diz o manual. Todavia, o ataque é especialmente eficaz contra alguns modelos de roteadores Wi-Fi como D-Link DIR-130 e Linksys WRT300n porque podem ser infectados remotamente mesmo que tenham uma senha de administrador forte.

De acordo com o manual do CherryBlossom, os agentes da CIA podem enviar “missões” para os dispositivos contaminados via uma ferramenta de comando-e-controle chamada CherryTree C&C.

Os tipos de missão variam, demonstrando toda a versatilidade da ferramenta. Por exemplo, as missões podem ser:

▻ espionar o tráfego de Internet da vítima;
▻ interceptar o tráfego e executar ações com base em gatilhos predefinidos (ao acessar uma URL específica, utilizar um determinado nome de usuário, e muito mais);
▻ redirecionar o tráfego de Internet da vítima através de outros servidores e/ou proxies controlados pela CIA;
▻ criar um túnel VPN do agente da CIA diretamente para a rede interna da vítima;
▻ alertar os agentes da CIA quando a vítima se torna ativa (ao utilizar o computador e/ou Internet);
▻ mapear todos os dispositivos conectados à rede local da vítima.

Inclusive, uma vez que um roteador Wi-Fi seja comprometido, suas comunicações com o servidor de comando-e-controle da CIA são criptografadas e disfarçadas para evitar a detecção.

Representantes de vários fabricantes de roteadores não responderam imediatamente aos pedidos de comentários, nem o Stanford Research Institute (SRI), que teria ajudado a CIA no desenvolvimento do CherryBlossom, de acordo com WikiLeaks.

A lista de fornecedores de roteadores Wi-Fi e pontos de acesso (APs) incluídos nos documentos do CherryBlossom são:
3Com, Accton, Aironet/Cisco, Allied Telesyn, Ambit, AMIT, Inc, Apple, Asustek Co, Belkin, Breezecom, Cameo, D-Link, Gemtek, Global Sun, Linksys, Motorola, Orinoco, Planet Tec, Senao, US Robotics e Z-Com.

“Praticamente todas as casas possuem um roteador Wi-Fi, e nós não temos muitas ferramentas para verificar o que está acontecendo nestes dispositivos, portanto, como lembrete para minimizar sua exposição, quando chegar em casa hoje, atualize o firmware do seu roteador e se estiver utilizando a senha padrão do dispositivo, troque-a por uma senha forte”, conclui Renato Andalik.

Cobertura da Mídia – Ertech Systems (06/2017)


23/06/2017

A Internet das Coisas precisa avançar na segurança como avança na inovação
Estima-se que até 2025 serão mais de 50 bilhões de dispositivos conectados, e esse mercado movimentará de US$ 4 trilhões a US$ 11 trilhões.


23/06/2017

A Internet das Coisas precisa avançar na segurança como avança na inovação
Estima-se que até 2025 serão mais de 50 bilhões de dispositivos conectados, e esse mercado movimentará de US$ 4 trilhões a US$ 11 trilhões.


23/06/2017

A Internet das Coisas precisa avançar na segurança como avança na inovação
Estima-se que até 2025 serão mais de 50 bilhões de dispositivos conectados, e esse mercado movimentará de US$ 4 trilhões a US$ 11 trilhões.


23/06/2017

A Internet das Coisas precisa avançar na segurança como avança na inovação
Estima-se que até 2025 serão mais de 50 bilhões de dispositivos conectados, e esse mercado movimentará de US$ 4 trilhões a US$ 11 trilhões.


23/06/2017

A Internet das Coisas precisa avançar na segurança como avança na inovação
Estima-se que até 2025 serão mais de 50 bilhões de dispositivos conectados, e esse mercado movimentará de US$ 4 trilhões a US$ 11 trilhões.


12/07/2017

A IoT precisa avançar na segurança como avança na inovação
Segundo Cláudio Braghini e Renato Andalik, diretores da Ertech Systems, o maior problema hoje com os projetos está relacionado à pressa exibida por muitos fabricantes no anseio de preencher o vazio do mercado, mas com total desprezo para a segurança desses dispositivos.

Próximas Postagens

Mouse ao Alto

Descomplicando a segurança de IoT à Cloud

Categorias