Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'CIA gebruikte Brutal Kangaroo-tool om afgescheiden netwerken binnen te dringen'

Door , 25 reacties

WikiLeaks heeft opnieuw CIA-documenten uit zijn Vault 7-reeks gepubliceerd. Deze keer gaat het om het zogenaamde Brutal Kangaroo-project, waarmee het mogelijk is om air gapped netwerken binnen te dringen door gebruik te maken van usb-drives.

Volgens WikiLeaks is Brutal Kangaroo een Windows-toepassing. Uit de bijbehorende handleiding blijkt dat het om een verzameling aan tools gaat. Zo kan een gebruiker de tool Drifting Deadline gebruiken om een usb-drive te prepareren. Daarvoor biedt de software een soort wizard aan, die de gebruiker door het proces heen loodst. Eenmaal afgesloten, maakt de tool een xml-configuratie aan en kan de gebruiker ervoor kiezen om een usb-drive met de gekozen configuratie te infecteren. Hoewel de handleiding niet specifiek het verdere proces beschrijft, is dit wel uit een andere handleiding van een oudere tool op te maken.

Daaruit blijkt dat de usb-drive wordt gebruikt om een primary host te infecteren. Als vervolgens een andere drive met die host wordt verbonden, wordt er gekeken of deze aan vooraf ingestelde vereisten voldoet. Als dit zo is, wordt de nieuwe drive geïnfecteerd. Daarna is het de bedoeling dat diezelfde usb-drive binnen het afgesloten netwerk wordt aangesloten, waarna infectie plaatsvindt. Vervolgens wordt van de zogenaamde Shadow-implant gebruikgemaakt indien meerdere systemen zijn geïnfecteerd om een gesloten netwerk tussen de machines te creëren en gegevens over en weer te versturen, claimt het document.

Op die manier is het mogelijk om het afgesloten netwerk in kaart te brengen en gegevens te verzamelen. Uiteindelijk dient de usb-drive weer met de primary host verbonden te worden, waarna de verzamelde gegevens naar de harde schijf worden gekopieerd en naar een listening post verstuurd kunnen worden. Volgens WikiLeaks komt dit proces overeen met de werking van de Stuxnet-malware. In de documenten is beschreven dat bepaalde antivirusprogramma's een met Drifting Deadline bewerkte usb-drive detecteren, waaronder Symantec, Avira, Rising en BitDefender.

 Beschrijving van het proces achter de oudere tool

Reacties (25)

Wijzig sortering
air gapped netwerken binnen te dringen door gebruik te maken van usb-drives.
Volgens mij kan niet alleen de CIA dit; elke persoon die een PC moet installeren/updaten zonder internet, gebruikt een USB-drive en/of een CD'tje?

Voor meer info/achtergronden over Stuxnet en hoe (vermoedelijk) de Amerikanen hierachter zaten: Zero Days :)

[Reactie gewijzigd door MAX3400 op 22 juni 2017 20:07]

Ja net dat misbruiken ze. Ze gaan er van uit dat ze geen toegang hebben tot de systemen, maar *iemand* moet wel toegang hebben én er data op of afhalen.

Dus infecteer je die *iemand* zijn machine en vervolgens kom je er zo op terecht. Zero Days is een heel interessante documentaire, vooral omdat het alle militaire en politieke zaken belicht.
is een netwerk wel air gapped als mensen usb sticks van buiten kunnen aansluiten? dan heb je nog steeds een lijn naar buiten, alleen met vertraging.

[Reactie gewijzigd door Origin64 op 22 juni 2017 22:38]

Airgapping is dat er geen communicatie mogelijk is "direct". Stel jij hebt geen internetlijn maar wel een PC, dan ben je airgapped. De enige manier om legale/illegale software op jouw PC te krijgen, is middels een voorgeprogrammeerd iets, zoals een USB-stick.

De crux zit 'm er dus in dat iemand eerst moet weten wat hij/zij wil aanvallen op jouw PC, dan een custom code op USB zet, ervoor zorgt dat jij of iemand anders die USB in handen krijgt en alles automatisch wordt uitgevoerd.

Er is/hoeft geen weg terug te zijn; het insteken van de USB is een point & shoot applicatie. Het resultaat verwacht "men" is annihilatie van het target. Enige vorm van terugkoppeling (dus terug vanuit jouw huis naar de buitenwereld) is niet interessant.
De crux zit 'm er dus in dat iemand eerst moet weten wat hij/zij wil aanvallen op jouw PC, dan een custom code op USB zet, ervoor zorgt dat jij of iemand anders die USB in handen krijgt en alles automatisch wordt uitgevoerd.
Dit soort acties vind ik dan eigenlijk weer erg tof. Als ik zie hoe bijvoorbeeld de NSA het liefst iedereen permanent met een camera wil volgen omdat we allemaal criminelen zijn, vind ik dit soort acties geen probleem. De CIA is echter heel specifiek bezig en dat vind ik prima. Op deze manier is niet iedereen zijn/haar privacy kwijt.

Lijkt me een spannende baan, steeds hopen dat de persoon hapt en je een stap verder bent. Alles moet perfect uitgedacht worden.
In dat opzicht is dit inderdaad een echte spionage / infiltratie tool zoals vroeger de microfoontjes in de plantenbak. Een echte opsporingsdienst-tool.
Zo'n specifieke tool kan ook algemener worden ingezet. Een microfoontje kun je maar op 1 plek tegelijk gebruiken. Bij zo'n tool hoeft men maar een paar regels code aan te passen en ineens doet het vanaf elke pc waar het op komt phone home
Volgens WikiLeaks komt dit proces overeen met de werking van de Stuxnet-malware.
Als je het mij vraagt is dat hele Stuxnet-verhaal vanaf het begin aan op dezelfde manier aangedikt. Iemand een USB-stick naar binnen laten sluizen is de werkelijke cruciale actie. Fysiek contact maakt alles mogelijk. Spreken van malware, hacken en een bijbehorende "methode" is volgens mij politiek/diplomatiek gezwam, net als de heen- en weer vliegende beschuldigingen van spionage tussen de grote naties.

[Reactie gewijzigd door blorf op 23 juni 2017 05:12]

Lees je even bij over stuxnet. Dat heeft de hele wereld geinfecteerd. Verspreide zich eerst normaal virus, via internet, eenmaal op een host kopieerde het zich op een usb en keek daarna of het op zo'n brakke standalone windows systeem stond dat plc's aanstuurt in fabriekshal. Werd alleen actief in Iran bij de "juiste" combo plc en freq generatoren. Ten minste dat was het idee. Die paar bedrijven die stom toevallig dezelfde combi hadden waren dan maar collatoral damage.
Het gaat er bij deze aanvalstactieken niet om dat je iemand uit het "eigen" kamp hardware naar binnen laat smokkelen: je laat iemand die fysiek naar binnen mag gaan onbewust het virus meenemen. M.i. is daarom Stuxnet juist niét aangedikt: in bovenstaand scenario is de cruciale vraag hoe je jouw code ongemerkt op de draagbare hardware (b.v. USB-stick) van de tegenpartij krijgt.

In films krijg je dan James Bond-scenario's waarbij je doelgericht op die ene persoon afgaat en ongemerkt probeert zijn of haar hardware te infecteren door er zelf fysiek bij te kunnen. In de praktijk is een aanpak zoals Stux veel slimmer: Probeer zoveel mogelijk hardware willekeurig en wereldwijd te infecteren zodat de kans dat jouw doelwit er tussen zit aannemelijk wordt en dat hij vervolgens zelf onbewust jouw code mee naar binnen neemt en het eigen (off-line) systeem infecteert.

[Reactie gewijzigd door RK88 op 23 juni 2017 12:26]

Daar de je het toch mee tekort. En eerlijk is eerlijk: ik zou in eerste instantie ook vraagtekens bij een scenario als dit zetten.
Totdat ik zelf bij een multinationale werkte en er op meerdere plekken op 1 locatie dezelfde usb-sticks werden gevonden. Random verspreid in de hoop dat 1 van de nieuwschierige vinders hem in de werk-computer zou stoppen. Gelukkig werd er op tijd alarm geslagen, maar zoiets kan zo makkelijk zo fout gaan....
Bleek toch ook maar weer dat je zelf wel alles kunt doen om je IT goed beveiligd te houden (ok, usb whitelisting bijv. had hier nog beter gewerkt) maar alsnog door dit soort "analoge" acties voor de bijl kunt gaan.
Als bedrijf moet en zal je de gebruikers toch ook mee moeten krijgen. Dat is geen kwestie van willen of kunnen.
Eigenlijk is de wereld toch ook ziek aan het worden? Of beter nog, is de wereld al zwaar verziekt.

Het is toch te triest voor woorden dat we niet meer willen communiceren met elkaar en daarom maar op slinkse wijze aan informatie proberen te komen van elkaar.
Het is nooit anders geweest in de geschiedenis der mensheid.
Dat wel, maar vooral het niveau waarop het nu gebeurt vind ik wel zorgwekkend. Het is het gevolg van snelle technologische ontwikkelingen. Maar ik heb toch het idee dat men nu graag meer wil weten dan noodzakelijk.
Dat is ook altijd zo geweest.
De redenering is: je kan nooit genoeg weten, want achteraf zal pas blijken welk stukje informatie belangrijk is geweest.
Tsja, het blijft met twee maten meten. De overheid die bescherming van privacy en gegevens wil. En dezelfde overheid die toegang wil tot alle gegevens ten koste van privacy. Het eerste roep je heel hard en het tweede doe je ondertussen stiekem.
Tja, het is best logisch dat je over dit soort dingen niet wilt communiceren. Zodra je dit doet, weet de andere partij dat je die informatie wilt hebben, en zullen ze die beter beschermen.

En zoals @Arrogant ook zegt is dit niks nieuws. Het is tegenwoordig misschien zelfs wel verminderd vanwege de verregaande samenwerking overal.
While the exploits may have been successful in some cases, the Brutal Kangaroo documents show that security products from Symantec, Avira, Avast, Bitdefender and Kaspersky did block at least some functionality and attack vectors.

Kaspersky ook hoor.

Bron: http://www.securityweek.c...pped-network-hacking-tool
Humor tijdje geleden het bericht dat CIA (externe) mensen heeft ontslagen omdat ze een snoep machine om de tuin hadden geleid voor gratis snoep.

Wat gebeurd er nu met de CIA ??
Nu wachten tot de sancties tegen de VS komen :)

Oh wacht... :+
Er zijn al een flink aantal landen met sancties tegen de VS.
Mogelijk grotendeels ook landen tegen wie de VS deze middelen inzet (Iran, Noord Korea en dergelijke)
Waarom? Ze hebben toch geen snoep gestolen?
Computerinbraak is net zo goed strafbaar.
Het ene gebeurt met toestemming van hogerhand, het andere niet :)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*