'CIA gebruikte Brutal Kangaroo-tool om afgescheiden netwerken binnen te dringen'

WikiLeaks heeft opnieuw CIA-documenten uit zijn Vault 7-reeks gepubliceerd. Deze keer gaat het om het zogenaamde Brutal Kangaroo-project, waarmee het mogelijk is om air gapped netwerken binnen te dringen door gebruik te maken van usb-drives.

Volgens WikiLeaks is Brutal Kangaroo een Windows-toepassing. Uit de bijbehorende handleiding blijkt dat het om een verzameling aan tools gaat. Zo kan een gebruiker de tool Drifting Deadline gebruiken om een usb-drive te prepareren. Daarvoor biedt de software een soort wizard aan, die de gebruiker door het proces heen loodst. Eenmaal afgesloten, maakt de tool een xml-configuratie aan en kan de gebruiker ervoor kiezen om een usb-drive met de gekozen configuratie te infecteren. Hoewel de handleiding niet specifiek het verdere proces beschrijft, is dit wel uit een andere handleiding van een oudere tool op te maken.

Daaruit blijkt dat de usb-drive wordt gebruikt om een primary host te infecteren. Als vervolgens een andere drive met die host wordt verbonden, wordt er gekeken of deze aan vooraf ingestelde vereisten voldoet. Als dit zo is, wordt de nieuwe drive geïnfecteerd. Daarna is het de bedoeling dat diezelfde usb-drive binnen het afgesloten netwerk wordt aangesloten, waarna infectie plaatsvindt. Vervolgens wordt van de zogenaamde Shadow-implant gebruikgemaakt indien meerdere systemen zijn geïnfecteerd om een gesloten netwerk tussen de machines te creëren en gegevens over en weer te versturen, claimt het document.

Op die manier is het mogelijk om het afgesloten netwerk in kaart te brengen en gegevens te verzamelen. Uiteindelijk dient de usb-drive weer met de primary host verbonden te worden, waarna de verzamelde gegevens naar de harde schijf worden gekopieerd en naar een listening post verstuurd kunnen worden. Volgens WikiLeaks komt dit proces overeen met de werking van de Stuxnet-malware. In de documenten is beschreven dat bepaalde antivirusprogramma's een met Drifting Deadline bewerkte usb-drive detecteren, waaronder Symantec, Avira, Rising en BitDefender.

Brutal Kangaroo Beschrijving van het proces achter de oudere tool

Door Sander van Voorst

Nieuwsredacteur

Feedback • 22-06-2017 19:59 25

22-06-2017 • 19:59

25

Lees meer

VS klaagt voormalig CIA-medewerker aan voor lekken van Vault 7-bestanden
VS klaagt voormalig CIA-medewerker aan voor lekken van Vault 7-bestanden Nieuws van 19 juni 2018
'Computeraanval op Saoedisch petrochemisch bedrijf moest explosie veroorzaken'
'Computeraanval op Saoedisch petrochemisch bedrijf moest explosie veroorzaken' Nieuws van 15 maart 2018
Twitteraccount Julian Assange was kortstondig verdwenen - update
Twitteraccount Julian Assange was kortstondig verdwenen - update Nieuws van 25 december 2017
WikiLeaks publiceert werkwijze van CIA om webcams te blokkeren bij fysieke hacks
WikiLeaks publiceert werkwijze van CIA om webcams te blokkeren bij fysieke hacks Nieuws van 3 augustus 2017
WikiLeaks publiceert over CIA-tools die zich op Mac, Linux en FreeBSD richten
WikiLeaks publiceert over CIA-tools die zich op Mac, Linux en FreeBSD richten Nieuws van 27 juli 2017
WikiLeaks publiceert CIA-methodes om routers binnen te dringen
WikiLeaks publiceert CIA-methodes om routers binnen te dringen Nieuws van 15 juni 2017
WikiLeaks publiceert CIA-handleiding Athena-malware voor Windows-systemen
WikiLeaks publiceert CIA-handleiding Athena-malware voor Windows-systemen Nieuws van 19 mei 2017
WikiLeaks publiceert broncode CIA-tool voor watermerken Office-documenten
WikiLeaks publiceert broncode CIA-tool voor watermerken Office-documenten Nieuws van 28 april 2017
'CIA-hacktools werden gebruikt om organisaties in zestien landen aan te vallen'
'CIA-hacktools werden gebruikt om organisaties in zestien landen aan te vallen' Nieuws van 10 april 2017
WikiLeaks publiceert CIA-handleidingen voor malwareplatform
WikiLeaks publiceert CIA-handleidingen voor malwareplatform Nieuws van 7 april 2017
'CIA gebruikte tools om herkomst malware te verbergen'
'CIA gebruikte tools om herkomst malware te verbergen' Nieuws van 1 april 2017
'CIA gebruikte netwerkdongel met aangepaste firmware om Macs binnen te dringen'
'CIA gebruikte netwerkdongel met aangepaste firmware om Macs binnen te dringen' Nieuws van 23 maart 2017
Apple: veel lekken uit CIA-documenten zijn al gedicht
Apple: veel lekken uit CIA-documenten zijn al gedicht Nieuws van 8 maart 2017
'CIA gebruikt zero-days in Windows, Android, iOS en Samsung-tv's voor spionage'
'CIA gebruikt zero-days in Windows, Android, iOS en Samsung-tv's voor spionage' Nieuws van 7 maart 2017
Meer producten en artikelen
Netwerk en systeembeheer Security spionage

Reacties (25)

-Moderatie-faq
25
24
9
1
0
11
Wijzig sortering
MAX3400 22 juni 2017 20:07
air gapped netwerken binnen te dringen door gebruik te maken van usb-drives.
Volgens mij kan niet alleen de CIA dit; elke persoon die een PC moet installeren/updaten zonder internet, gebruikt een USB-drive en/of een CD'tje?

Voor meer info/achtergronden over Stuxnet en hoe (vermoedelijk) de Amerikanen hierachter zaten: Zero Days :)

[Reactie gewijzigd door MAX3400 op 30 juli 2024 14:17]

? ? @MAX340022 juni 2017 21:08
Ja net dat misbruiken ze. Ze gaan er van uit dat ze geen toegang hebben tot de systemen, maar *iemand* moet wel toegang hebben én er data op of afhalen.

Dus infecteer je die *iemand* zijn machine en vervolgens kom je er zo op terecht. Zero Days is een heel interessante documentaire, vooral omdat het alle militaire en politieke zaken belicht.
Origin64 @? ?22 juni 2017 22:37
is een netwerk wel air gapped als mensen usb sticks van buiten kunnen aansluiten? dan heb je nog steeds een lijn naar buiten, alleen met vertraging.

[Reactie gewijzigd door Origin64 op 30 juli 2024 14:17]

MAX3400 @Origin6422 juni 2017 22:47
Airgapping is dat er geen communicatie mogelijk is "direct". Stel jij hebt geen internetlijn maar wel een PC, dan ben je airgapped. De enige manier om legale/illegale software op jouw PC te krijgen, is middels een voorgeprogrammeerd iets, zoals een USB-stick.

De crux zit 'm er dus in dat iemand eerst moet weten wat hij/zij wil aanvallen op jouw PC, dan een custom code op USB zet, ervoor zorgt dat jij of iemand anders die USB in handen krijgt en alles automatisch wordt uitgevoerd.

Er is/hoeft geen weg terug te zijn; het insteken van de USB is een point & shoot applicatie. Het resultaat verwacht "men" is annihilatie van het target. Enige vorm van terugkoppeling (dus terug vanuit jouw huis naar de buitenwereld) is niet interessant.
Zenomyscus @MAX340023 juni 2017 08:33
De crux zit 'm er dus in dat iemand eerst moet weten wat hij/zij wil aanvallen op jouw PC, dan een custom code op USB zet, ervoor zorgt dat jij of iemand anders die USB in handen krijgt en alles automatisch wordt uitgevoerd.
Dit soort acties vind ik dan eigenlijk weer erg tof. Als ik zie hoe bijvoorbeeld de NSA het liefst iedereen permanent met een camera wil volgen omdat we allemaal criminelen zijn, vind ik dit soort acties geen probleem. De CIA is echter heel specifiek bezig en dat vind ik prima. Op deze manier is niet iedereen zijn/haar privacy kwijt.

Lijkt me een spannende baan, steeds hopen dat de persoon hapt en je een stap verder bent. Alles moet perfect uitgedacht worden.
Stoelpoot @Zenomyscus23 juni 2017 09:19
In dat opzicht is dit inderdaad een echte spionage / infiltratie tool zoals vroeger de microfoontjes in de plantenbak. Een echte opsporingsdienst-tool.
Origin64 @Stoelpoot23 juni 2017 09:38
Zo'n specifieke tool kan ook algemener worden ingezet. Een microfoontje kun je maar op 1 plek tegelijk gebruiken. Bij zo'n tool hoeft men maar een paar regels code aan te passen en ineens doet het vanaf elke pc waar het op komt phone home
blorf @MAX340023 juni 2017 05:12
Volgens WikiLeaks komt dit proces overeen met de werking van de Stuxnet-malware.
Als je het mij vraagt is dat hele Stuxnet-verhaal vanaf het begin aan op dezelfde manier aangedikt. Iemand een USB-stick naar binnen laten sluizen is de werkelijke cruciale actie. Fysiek contact maakt alles mogelijk. Spreken van malware, hacken en een bijbehorende "methode" is volgens mij politiek/diplomatiek gezwam, net als de heen- en weer vliegende beschuldigingen van spionage tussen de grote naties.

[Reactie gewijzigd door blorf op 30 juli 2024 14:17]

multimho @blorf23 juni 2017 06:49
Lees je even bij over stuxnet. Dat heeft de hele wereld geinfecteerd. Verspreide zich eerst normaal virus, via internet, eenmaal op een host kopieerde het zich op een usb en keek daarna of het op zo'n brakke standalone windows systeem stond dat plc's aanstuurt in fabriekshal. Werd alleen actief in Iran bij de "juiste" combo plc en freq generatoren. Ten minste dat was het idee. Die paar bedrijven die stom toevallig dezelfde combi hadden waren dan maar collatoral damage.
RK88 @blorf23 juni 2017 12:25
Het gaat er bij deze aanvalstactieken niet om dat je iemand uit het "eigen" kamp hardware naar binnen laat smokkelen: je laat iemand die fysiek naar binnen mag gaan onbewust het virus meenemen. M.i. is daarom Stuxnet juist niét aangedikt: in bovenstaand scenario is de cruciale vraag hoe je jouw code ongemerkt op de draagbare hardware (b.v. USB-stick) van de tegenpartij krijgt.

In films krijg je dan James Bond-scenario's waarbij je doelgericht op die ene persoon afgaat en ongemerkt probeert zijn of haar hardware te infecteren door er zelf fysiek bij te kunnen. In de praktijk is een aanpak zoals Stux veel slimmer: Probeer zoveel mogelijk hardware willekeurig en wereldwijd te infecteren zodat de kans dat jouw doelwit er tussen zit aannemelijk wordt en dat hij vervolgens zelf onbewust jouw code mee naar binnen neemt en het eigen (off-line) systeem infecteert.

[Reactie gewijzigd door RK88 op 30 juli 2024 14:17]

SuBBaSS @blorf23 juni 2017 14:19
Daar de je het toch mee tekort. En eerlijk is eerlijk: ik zou in eerste instantie ook vraagtekens bij een scenario als dit zetten.
Totdat ik zelf bij een multinationale werkte en er op meerdere plekken op 1 locatie dezelfde usb-sticks werden gevonden. Random verspreid in de hoop dat 1 van de nieuwschierige vinders hem in de werk-computer zou stoppen. Gelukkig werd er op tijd alarm geslagen, maar zoiets kan zo makkelijk zo fout gaan....
Bleek toch ook maar weer dat je zelf wel alles kunt doen om je IT goed beveiligd te houden (ok, usb whitelisting bijv. had hier nog beter gewerkt) maar alsnog door dit soort "analoge" acties voor de bijl kunt gaan.
Als bedrijf moet en zal je de gebruikers toch ook mee moeten krijgen. Dat is geen kwestie van willen of kunnen.
Sleurhutje 23 juni 2017 08:46
Eigenlijk is de wereld toch ook ziek aan het worden? Of beter nog, is de wereld al zwaar verziekt.

Het is toch te triest voor woorden dat we niet meer willen communiceren met elkaar en daarom maar op slinkse wijze aan informatie proberen te komen van elkaar.
Arrogant @Sleurhutje23 juni 2017 09:04
Het is nooit anders geweest in de geschiedenis der mensheid.
Sleurhutje @Arrogant23 juni 2017 10:04
Dat wel, maar vooral het niveau waarop het nu gebeurt vind ik wel zorgwekkend. Het is het gevolg van snelle technologische ontwikkelingen. Maar ik heb toch het idee dat men nu graag meer wil weten dan noodzakelijk.
Twanne @Sleurhutje23 juni 2017 10:46
Dat is ook altijd zo geweest.
De redenering is: je kan nooit genoeg weten, want achteraf zal pas blijken welk stukje informatie belangrijk is geweest.
Sleurhutje @Twanne23 juni 2017 11:23
Tsja, het blijft met twee maten meten. De overheid die bescherming van privacy en gegevens wil. En dezelfde overheid die toegang wil tot alle gegevens ten koste van privacy. Het eerste roep je heel hard en het tweede doe je ondertussen stiekem.
Stoelpoot @Sleurhutje23 juni 2017 09:27
Tja, het is best logisch dat je over dit soort dingen niet wilt communiceren. Zodra je dit doet, weet de andere partij dat je die informatie wilt hebben, en zullen ze die beter beschermen.

En zoals @Arrogant ook zegt is dit niks nieuws. Het is tegenwoordig misschien zelfs wel verminderd vanwege de verregaande samenwerking overal.
egnappahz 23 juni 2017 10:59
While the exploits may have been successful in some cases, the Brutal Kangaroo documents show that security products from Symantec, Avira, Avast, Bitdefender and Kaspersky did block at least some functionality and attack vectors.

Kaspersky ook hoor.

Bron: http://www.securityweek.c...pped-network-hacking-tool
Verwijderd 23 juni 2017 13:27
Humor tijdje geleden het bericht dat CIA (externe) mensen heeft ontslagen omdat ze een snoep machine om de tuin hadden geleid voor gratis snoep.

Wat gebeurd er nu met de CIA ??
SomerenV 22 juni 2017 20:57
Nu wachten tot de sancties tegen de VS komen :)

Oh wacht... :+
TWyk @SomerenV23 juni 2017 11:38
Er zijn al een flink aantal landen met sancties tegen de VS.
Mogelijk grotendeels ook landen tegen wie de VS deze middelen inzet (Iran, Noord Korea en dergelijke)
Verwijderd @SomerenV22 juni 2017 21:06
Waarom? Ze hebben toch geen snoep gestolen?
GoT @Verwijderd22 juni 2017 22:20
Computerinbraak is net zo goed strafbaar.
Twanne @Verwijderd23 juni 2017 10:47
Het ene gebeurt met toestemming van hogerhand, het andere niet :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq