Y es que Wikileaks sigue aportando y revelando documentación acerca de programa Vault 7 de la CIA, en el que tienen miles de documentos sobre herramientas de hackeo y malware que la agencia usaba con el fin de espiar a sus enemigos y a su vez comprometer la seguridad de instituciones extranjeras.
Por ello hoy os hablaré acerca de Brutal Kangaroo que es un malware que se usa para infectar ordenadores air-gapped (aislados de Internet) que tienen sistema operativo Windows.
Muchas son las preguntas que podemos hacernos para llegar a saber cómo puede ser que un ordenador sin estar conectado a internet se pueda infectar. Y es que el que estemos exentos de que nos pueda entrar un malware es practicamente imposible, por más seguridad y precauciones tomemos en cuanto a nuestro uso.
Gracias a estas vulnerabilidades se van creando parches de seguridad, claro que gracias a algunos fallos se pueden llegar a permitir el acceso de ejecuciones de código de manera remota sin que haya un acceso físico al dispositivo, como puede ser un ordenador.
Es por ello que en algunas ocasiones y en el caso de actores sectores empresariales lo más recomendado es que tengan toda su información sensible en equipos que estén alejados de internet, ya que con eso se puede evitar en gran medida que puedan ser atacados. En inglés a este tipo equipos se les denomina como “air-gapped”, que hace referencia a la separación por aire entre un ordenador o una red de ordenadores.
Ante este tipo de situaciones la CIA ha desarrollado Brutal Kangaroo para Windows que es un tipo de malware que infecta este tipo de equipos, sobre todo el principal objetivo de esta creación es la del acceso a ciertas organizaciones y empresas mediante las cuáles no se puede acceder de manera directa.
Lo cierto es que su forma de transmisión es muy sencillo, en primer lugar se debe infectar un equipo que esté dentro de la organización, instalando el malware Brutal kangaroo, una vez instalado el mecanismo de propagación hacia el ordenador aislado de Internet sería una simple memoria USB o un disco duro externo, lo cual es muy común utilizar para repartir información hacia el ordenador aislado. El malware que se usaba para infectar la memoria USB es distinto de Brutal Kangaroo.
Cuando el objetivo se había conseguido y se habían infectado varios equipos dentro de la misma red aislada, y éstos quedaban bajo el control de la CIA, se formaba una red encubierta con el fin de coordinar tareas e intercambiar datos, de una forma afín a como funciona Stuxnet.
Componentes que forman Brutal Kangaroo.
Drifting Deadline: esta es la herramienta ideal que se utiliza para infectar memorias de tipo USB y los dispositivos extraíbles.
Shattered Assurance: es una herramienta remota utilizada para gestionar la infección de forma automatizada de las memorias como nodo principal de transmisión del malware.
Broken Promise: es utilizado con el fin de evaluar la información recogida.
Shadow: este es el mecanismo persistente principal que se encarga de hacer las funciones de servidor C&C (command and control) en la red infectada. El vector principal que utiliza el malware para infectar el ordenador se basa en una vulnerabilidad de Windows que puede explotarse enlazando manualmente a archivos que cargan y ejecutan DLL sin que el usuario tenga que interactuar con ellos. Las versiones anteriores del malware usaban un mecanismo denominado EZCheese, que es una vulnerabilidad de día cero que no se parcheó hasta marzo de 2015. Las versiones más recientes utilizan un mecanismo similar que es desconocido.
Todo son sustos con los temas de las vulnerabilidades y los equipos, sin embargo en ocasiones los usuarios normales no son susceptibles de ciertas prácticas sino las empresas u organizaciones.
Arkatronic.com Tu centro comercial online.