Visualizzazioni Totali

IL MIGLIOR BLOG TECNOLOGICO DEL WEB: PER ESSERE SEMPRE AGGIORNATI SULLE NOVITA' DEL BLOG DA OGGI CI TROVATE ANCHE SU FACEBOOK! (LINK A SINISTRA)

venerdì 4 agosto 2017

Brutal Kangaroo e Drifting Deadline: I Malware CIA Che Colpiscono Macchine Air-Gap

WikiLeaks ha rilasciato un nuovo documento dove è descritta la piattaforma Brutal Kangaroo, che raccoglie una varietà di strumenti con lo scopo preciso di compromettere reti e computer contenenti materiale molto riservato, al punto da essere allocato su sistemi senza rete internet (o comunque disconnessi).
Anche se, come ricorderemo, un vecchio adagio Hacker era: "l' unica macchina al sicuro è quella spenta".
L'obiettivo è l'esecuzione di payload arbitari: l'attacco inizia con una fase preliminare nella quale viene infettata una macchina.
Quando un utente collega una pendrive, questa viene infettata con il malware stesso, che si propagherà sui sistemi della rete "Air-Gap" (cioè sistemi isolati, connessi a reti separate fisicamente o logicamente) qualora la pendrive venga usata anche su questi (ad esempio per trasferire file).
Nel caso in cui le macchine infette appartenenti alla stessa rete air-gapped siano più di una, viene creata una rete di overlay per coordinare l'esecuzione di task e favorire lo scambio di dati.
I comandi da eseguire vengono impartiti tramite la suite Shadow e poi valutati tramite Broken Promise.
Nelle oltre 150 pagine pubblicate da WikiLeaks si descrive anche lo strumento Drifting Deadline, che va a colpire sistemi connessi alla rete allo scopo di infettare qualsiasi driver USB che eventualmente dovesse venir collegato.
Quando il drive viene collegato a sistemi "Air-Gap" va ad infettarli con uno e più strumenti malware pensati per la missione specifica (drive USB).
Molti drive USB sono stati in grado di compromettere i sistemi anche quando non veniva aperto nessun file.
Un altro exploit chiamato Lachesis ha invece sfruttato la funzionalità Autorun di Windows per compromettere sistemi Windows 7 grazie all'inclusione di un collegamento compromesso sulla lettera del drive montato, senza che fosse necessario mostrare icone su Windows Explorer.
RiverJack invece, faceva uso di funzioni library-ms di Windows per compromettere i sistemi Windows 7, 8, e 8.1.
Si legge, poi, di un exploit chiamato EXCheese che entra in funzione ogni volta che Windows Explorer va a mostrare un'icona opportunamente compromessa.
Microsoft in un comunicato ufficiale ha dichiarato: "La miglior difesa contro le moderne minacce di sicurezza resta Windows 10, che viene aggiornato automaticamente di default".
Infine chiudiamo con CherryBlossom, una piattaforma per la compromissione e lo spionaggio di router.

Nessun commento:

Posta un commento