Brutal Kangaroo è l'ultima pubblicazione Vault 7, per compromettere sistemi air-gapped

Proseguendo nella pubblicazione del materiale appartenente alla campagna Vault7, WikiLeaks ha rilasciato un nuovo documento dove viene descritta la piattaforma con il nome in codice Brutal Kangaroo, che raccoglie una varietà di strumenti con lo scopo preciso di compromettere reti e computer contenenti materiale così sensibile e riservato da essere scollegati da Internet.

Nelle oltre 150 pagine pubblicate da WikiLeaks si descrive lo strumento Drifting Deadline, che va a prendere a bersaglio sistemi connessi alla rete allo scopo di infettare qualsiasi driver USB che eventualmente dovesse venir collegato. Quando il drive viene collegato ai sistemi air-gapped va ad infettarli con uno e più strumenti malware pensati per la missione specifica. E' interessante osservare che in alcuni casi i drive USB sono stati in grado di compromettere i sistemi anche quando non veniva aperto nessun file.

Le informazioni disponibili nella documentazione rilasciata da WikiLeaks sembrano suggerire che la compromissione con Drifting Deadline possa avvenire solo manualmente. Se effettivamente è così, la pericolosità di Brutal Kangaroo non è efficace come gli exploit sfruttati dai famigerati Stuxnet e Flame, anch'essi attribuiti alla NSA. I manuali della CIA non offrono particolari informazioni in questo senso ma sembra comunque che tutto ciò che serva per diffondere Drifting Deadline sia semplicemente un drive USB compromesso.

Si legge, poi, di un exploit chiamato EXCheese che entra in funzione ogni volta che Windows Explorer andava a mostrare un'icona opportunamente compromessa. Un altro exploit chiamato Lachesis ha invece sfruttato la funzionalità Autorun di Windows per compromettere sistemi Windows 7 grazie all'inclusione di un collegamento compromesso sulla lettera del drive montato, senza che fosse necessario mostrare icone su Windows Explorer. Si parla poi di RiverJack, che faceva uso di funzioni library-ms di Windows per compromettere i sistemi Windows 7, 8, e 8.1.

Microsoft in un comunicato ufficiale ha dichiarato: "La nostra indagine ha confermato che i clienti su versioni supportate di Windows non sono toccati dal problema. La miglior difesa contro le moderne minacce di sicurezza resta Windows 10, che viene aggiornato automaticamente di defaul". La società di Redmond non ha però precisato quando sono state corrette le vulnerabilità che hanno permesso a Lachesis e RiverJack di funzionare, anche se proprio questo mese ha risolto una vulnerabilità grave che ha consentito ai file .LNK di eseguire codice dannoso.

La scorsa settimana, sempre nel contesto della campagna Vault7, WikiLeaks aveva pubblicato la documentazione realtiva a CherryBlossom, una piattaforma per la compromissione e lo spionaggio di router. Ne abbiamo parlato qui.