Brutal Kangaroo è l'ultima pubblicazione Vault 7, per compromettere sistemi air-gapped

Brutal Kangaroo è l'ultima pubblicazione Vault 7, per compromettere sistemi air-gapped

Un arsenale di strumenti per compromettere sistemi e reti air-gapped, cioè non connessi ad Internet. E' questo il contenuto dell'ultimo faldone di documenti rilasciato da WikiLeaks

di pubblicata il , alle 16:01 nel canale Sicurezza
 

Proseguendo nella pubblicazione del materiale appartenente alla campagna Vault7, WikiLeaks ha rilasciato un nuovo documento dove viene descritta la piattaforma con il nome in codice Brutal Kangaroo, che raccoglie una varietà di strumenti con lo scopo preciso di compromettere reti e computer contenenti materiale così sensibile e riservato da essere scollegati da Internet.

Nelle oltre 150 pagine pubblicate da WikiLeaks si descrive lo strumento Drifting Deadline, che va a prendere a bersaglio sistemi connessi alla rete allo scopo di infettare qualsiasi driver USB che eventualmente dovesse venir collegato. Quando il drive viene collegato ai sistemi air-gapped va ad infettarli con uno e più strumenti malware pensati per la missione specifica. E' interessante osservare che in alcuni casi i drive USB sono stati in grado di compromettere i sistemi anche quando non veniva aperto nessun file.

Le informazioni disponibili nella documentazione rilasciata da WikiLeaks sembrano suggerire che la compromissione con Drifting Deadline possa avvenire solo manualmente. Se effettivamente è così, la pericolosità di Brutal Kangaroo non è efficace come gli exploit sfruttati dai famigerati Stuxnet e Flame, anch'essi attribuiti alla NSA. I manuali della CIA non offrono particolari informazioni in questo senso ma sembra comunque che tutto ciò che serva per diffondere Drifting Deadline sia semplicemente un drive USB compromesso.

Si legge, poi, di un exploit chiamato EXCheese che entra in funzione ogni volta che Windows Explorer andava a mostrare un'icona opportunamente compromessa. Un altro exploit chiamato Lachesis ha invece sfruttato la funzionalità Autorun di Windows per compromettere sistemi Windows 7 grazie all'inclusione di un collegamento compromesso sulla lettera del drive montato, senza che fosse necessario mostrare icone su Windows Explorer. Si parla poi di RiverJack, che faceva uso di funzioni library-ms di Windows per compromettere i sistemi Windows 7, 8, e 8.1.

Microsoft in un comunicato ufficiale ha dichiarato: "La nostra indagine ha confermato che i clienti su versioni supportate di Windows non sono toccati dal problema. La miglior difesa contro le moderne minacce di sicurezza resta Windows 10, che viene aggiornato automaticamente di defaul". La società di Redmond non ha però precisato quando sono state corrette le vulnerabilità che hanno permesso a Lachesis e RiverJack di funzionare, anche se proprio questo mese ha risolto una vulnerabilità grave che ha consentito ai file .LNK di eseguire codice dannoso.

La scorsa settimana, sempre nel contesto della campagna Vault7, WikiLeaks aveva pubblicato la documentazione realtiva a CherryBlossom, una piattaforma per la compromissione e lo spionaggio di router. Ne abbiamo parlato qui.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nick09124 Giugno 2017, 18:11 #1
Qualcuno sa dirmi qual è l'equivalente di WikiLeaks nella Russia di Putin?
LordPBA26 Giugno 2017, 08:19 #2
non che io sappia...

cmq mi ricordo che già 5 anni fa l'amministrazione Putin aveva indicato a tutti gli enti sensibili di non usare sistemi basati su Windows, mi fa pensare che erano già a conoscenza di questi exploit...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^