据外媒 6 月 22 日报道,维基解密( Wikileaks )近期再度曝光一批新 Vault7 文档,旨在揭示美国中央情报局( CIA )使用勒索软件工具 “野蛮袋鼠” (Brutal Kangaroo )监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。
Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件,其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外,Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间,并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。
据悉,维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示,旧版本的 Brutal Kangaroo 代号为 EZCheese。目前,它正利用 2015 年 3 月发现的漏洞展开攻击活动。
分析显示,CIA 可利用该工具组件渗透组织或企业内部的封闭网络,即无需直接访问,就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时,闪存盘本身会感染一种单独的恶意软件 Drifting Deadline,并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据,用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后,通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备,终将会感染该恶意软件。
此外,当恶意软件在封闭网络中传播时,多台受感染计算机将处于 CIA 的操控下,组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节,但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。
Brutal Kangaroo 工具组件由以下几部分组成:
Drifting Deadline:用于感染闪存盘的恶意工具
Shattered Assurance:一款处理闪存盘自动感染的服务器工具
Broken Promise:Brutal Kangaroo 后置处理器,用于分析收集到的信息
Shadow:主要存留机制(第二阶段工具,分布在封闭网络中,充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息)
原作者:Pierluigi Paganini, 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
from hackernews.cc.thanks for it.