A CIA pode hackear remotamente computadores que nem estão conectados à internet
Wikileaks: A CIA pode hackear remotamente computadores que nem estão conectados à internet
Quando firewalls, serviços de monitoramento de rede e software antivírus não são suficientes, sempre houve uma maneira infalível de proteger computadores que controlam operações confidenciais, como redes elétricas e bombas de água: desligá-los completamente da Internet. Mas novos documentos publicados pelo WikiLeaks em 22 de junho sugerem que, mesmo quando medidas tão extremas são tomadas, nenhum computador está a salvo de hackers motivados e com bons recursos.
Os 11 documentos descrevem um software chamado “Brutal Kangaroo”, um conjunto de ferramentas criadas para se infiltrar em computadores isolados com “air-gapped” visando redes conectadas à Internet dentro da mesma organização. É a publicação mais recente da série “Vault 7” de documentos vazados, que descrevem uma miríade de ferramentas de hackers que o WikiLeaks diz pertencer à Agência Central de Inteligência dos EUA (CIA).
O Brutal Kangaroo funciona criando um caminho digital de um invasor para um computador com falha de ar e vice-versa. O processo começa quando um hacker infecta remotamente um computador conectado à Internet na organização ou instalação visada. Depois de infectar o primeiro computador, o que os documentos chamam de “host primário”, o Brutal Kangaroo espera. Ele não pode se espalhar para outros sistemas até que alguém conecte um pen drive USB ao primeiro.
Quando alguém faz isso, o malware específico para a marca e o modelo do pen drive é copiado para ele, escondido em arquivos LNK modificados que o Microsoft Windows usa para renderizar ícones da área de trabalho e em arquivos DLL que contêm programas executáveis. A partir deste ponto, o Brutal Kangaroo espalhará mais malware para qualquer sistema em que o pen drive esteja conectado. E esses sistemas infectarão todas as unidades conectadas a eles, e assim por diante, e a ideia é que, eventualmente, uma dessas unidades seja conectada ao computador com gap de ar.
A principal falha no conceito de isolamento de computadores sensíveis é que a lacuna de ar ao redor deles só pode ser mantida se ninguém precisar copiar arquivos para dentro ou para fora deles. Mas mesmo para sistemas especializados, sempre há atualizações e patches para instalar e informações que precisam ser inseridas ou retiradas. É de conhecimento comum entre os especialistas de TI que os discos rígidos externos são um alvo óbvio para qualquer pessoa que queira quebrar a lacuna de ar, e as precauções são presumivelmente tomadas em instalações com especialistas em TI diligentes. Essas precauções, no entanto, podem ser subvertidas com a exploração de vulnerabilidades obscuras e, às vezes, erros simplesmente acontecem.
Se um pen drive infectado com o Brutal Kangaroo for conectado a um computador com gap de ar, ele imediatamente se copia nele. Se um usuário tentar navegar pelo conteúdo da unidade infectada nesse computador, ele acionará malware adicional que coletará dados do computador. À medida que os usuários continuam conectando a unidade em computadores conectados e desconectados, um relé é formado, criando um caminho lento de volta ao hacker, através do qual os dados copiados do computador com gap de ar serão entregues se tudo correr conforme o planejado.
Muitos detalhes descritos nos documentos do Brutal Kangaroo atraíram comparações com o Stuxnet, o poderoso malware supostamente desenvolvido pelos EUA e Israel para sabotar o programa nuclear do Irã. O Stuxnet foi construído especificamente para atingir computadores com lacunas de ar que controlavam centrífugas em uma instalação nuclear iraniana. Os atacantes, nesse caso, não visaram uma rede conectada à Internet dentro da instalação nuclear, presumivelmente porque não havia uma, mas visaram cinco organizações externas, de acordo com um relatório de 2014 da Wired. A partir daí, no entanto, o ataque funcionou da mesma maneira que os métodos descritos nos documentos do Brutal Kangaroo: o Stuxnet também se espalhou por pen drives, se escondeu em arquivos LNK e tentou criar um relé para enviar informações de volta aos invasores.
O Stuxnet acabou sendo descoberto por pesquisadores de segurança porque era muito poderoso e se espalhou para muito mais computadores do que seus criadores aparentemente queriam. Os desenvolvedores do Brutal Kangaroo parecem ter tirado uma lição disso e descreveram várias verificações em seus documentos que impedirão que ele se espalhe se certos fatores forem atendidos. Toda vez que chega a um novo computador, o Brutal Kangaroo verifica primeiro a data do computador. Se já passou de uma data codificada no malware, “o programa sairá imediatamente”, de acordo com os documentos. Ele também verifica algum tipo de “lista negra” e será encerrado se o computador estiver nele. Também deixará o Brutal Kangaroo “se o computador já tivesse sido visto antes”.
Os documentos do Brutal Kangaroo são apenas a mais recente revelação sobre do que os hackers da CIA são supostamente capazes. Publicações anteriores do Vault 7 incluíram documentos que sugerem que a agência pode transformar TVs inteligentes em dispositivos de escuta , hackear vários sistemas operacionais de desktop e móveis e monitorar o tráfego da Internet invadindo roteadores wifi domésticos . Em abril, a Symantec comparou várias ferramentas descritas nos lançamentos ao software invasivo que vinha rastreando desde 2014. Esse malware infectou pelo menos 40 alvos em 16 países desde 2011, disse a empresa em um post no blog, e possivelmente estava ativo desde 2011. como 2007.
A CIA não confirmou sua propriedade dos documentos ou ferramentas, mas como a Motherboard apontou em março passado, autoridades dos EUA disseram no tribunal que os documentos contêm informações confidenciais, sugerindo que os vazamentos são de fato autênticos.
Comentários
Postar um comentário