Brutal Kangaroo: Wie die CIA in abgetrennte Netzwerke gelangt

WikiLeaks hat heute die nächsten Dokumente aus der Vault-Serie veröffentlicht. Dieses mal handelt es sich um eine Malware die in der Lage ist, ein abgetrenntes und abgesichertes Netzwerk zu infizieren und zu überwachen.

Die Programmsuite namens Brutal Kangaroo besteht aus mehreren Teilen:

  • Drifting Deadline ist eine Software zur Malware-Installation über einen USb-Stick.
  • Shattered Assurance ist eine Server-Software die die automatische Infizierung von USB-Sticks vornimmt.
  • Broken Promise wertet die gesammelten Informationen aus
  • Shadow ist das primäre Kontrollsystem im abgesicherten Netzwerk, das wie ein Command-and-Control-Netzwerk arbeitet sobald mehrere Instanzen aktiv sind

Shattered Assurance wird dabei initial auf einem regulär erreichbarem Windows-System installiert. Über einen USB-Stick wird dann ein Angriff auf ein zweites, abgetrenntes Netzwerk vorgenommen: die Malware wird dabei unerkennbar für den Admin oder den Anwender auf dem Datenstick hinterlegt. Wird diese dann im “sicheren Netzwerk” in einen Server gesteckt, wird dieser unmittelbar mit Shadow infinziert.

Datensticks werden gerne genommen um Einstellungen zwischen dem regulären und dem abgetrennten Netzwerk zu kopieren, oder einfach um dort Sicherheits-Updates zu installieren – das “sichere Netzwerk” hat ja keine eigene Verbindung ins Internet. Über das befallene System im normalen Netzwerk sind die Angreifer der CIA in der Lage, alle gewünschten Kommandos via USB-Stick auf dem sicheren Netzwerk auszuführen. Auch die Rückwärts-Datenübertragung aus dem sicheren Netzwerk heraus ist damit problemlos möglich.

Datenklau aus abgetrenntem Netzwerk problemlos möglich

Je mehr Rechner im sicheren Netzwerk mit Shadow infiziert sind, desto effektiver arbeitet die Malware. Vom Prinzip her arbeitet die CIA-Software somit sehr ähnlich wie Stuxnet.

Ältere Versionen von Brutal Kangaroo haben einen alten 0-Day-Exploit für den Angriff verwendet – dieser wurde EZ-Cheese genannt. Die WikiLeaks vorliegende aktuellste Version verwendet einen bisher unbekannten Link-File-Angriff, die im Zusammenhang mit einer grundlegenden Library stehen soll.

Genutzte Lücke bisher unbekannt

Da der Angriff nun im Detail veröffentlicht wurde, wird das nächste Update für betroffene Windows-Systeme nicht lange auf sich warten lassen.