Brutal Kangaroo, il malware Cia per ‘bucare’ le reti più protette al mondo
Sono le reti di computer più delicate al mondo, create per proteggere informazioni e processi produttivi sensibili. Le usano banche e istituzioni finanziarie, industrie come quella nucleare, agenzie di intelligence, eserciti e ormai anche alcune delle redazioni più avanzate si sono dotate di reti simili per assicurare un’adeguata protezione delle fonti giornalistiche. Tecnicamente, si chiamano air gapped e non sono connesse a internet, proprio per scongiurare il rischio che virus e software malevoli (malware), che circolano online, possano compromettere computer che maneggiano informazioni o controllano processi industriali importanti, permettendo così a cybercriminali e spie di rubare documenti e dati o di eseguire sabotaggi.
Il mondo ha sentito parlare per la prima volta di questo tipo di operazioni nel 2010, quando Stati Uniti e Israele riuscirono a sabotare le centrifughe del nucleare iraniano semplicemente infettando con un virus di nome Stuxnet i computer che le controllavano e che erano completamente disconnessi da internet. Oggi Wikileaks aggiunge un nuovo tassello alla conoscenza di questo tipo di attacchi, rivelando in esclusiva con Repubblica una serie di documenti segreti su un programma della Central Intelligence Agency per compromettere le reti air gapped.
Si chiama Brutal Kangaroo, il canguro brutale, un nome buffo per un programma che di buffo ha ben poco. Il canguro brutale è uno strumento intelligente e recente: l’ultimo documento su di esso presente nel database di Wikileaks risale al febbraio del 2016, ma la Cia ha iniziato a svilupparlo nel 2012. Si tratta di un malware in grado di compromettere le reti air gapped utilizzando le chiavette Usb. Come riesce ad arrivare in quelle reti considerando che non sono connesse a internet? Tutto quello che serve è che almeno uno dei computer dell’organizzazione o dell’azienda che la Cia vuole colpire sia online. Anche le industrie e le società che utilizzano reti air gapped hanno comunque un certo numero di macchine online, fisicamente isolate da quelle air gapped. Una volta infettata con Brutal Kangaroo una di quelle online, basta che un operativo della Cia o anche un impiegato privo di una rigorosa cultura della sicurezza inserisca una chiavetta Usb nella macchina compromessa e da lì in un solo computer della rete air gapped ed è fatta: l’infezione è saltata come un canguro nella parte blindata della rete aziendale.
Arrivato a destinazione nella macchina disconnessa da internet, il malware Brutal Kangaroo può mettere a segno le operazioni per cui è progettato, creare una rete nascosta all’interno della rete air gapped per spiare i pc che ne fanno parte, fare operazioni di sabotaggio, ma anche rubare dati presenti sulle macchine. Come riesce a rimandare indietro le informazioni rubate alla Cia, visto che i computer della rete non sono online? Ancora una volta, sono le chiavette Usb a permettere questa operazione: se il solito impiegato distratto usa il drive Usb, che ha utilizzato sui computer air gapped infettati da Brutal Kangaroo, per fare operazioni su una macchina online, i dati rubati dal malware verranno rimandati indietro alla Cia. Si tratta, ovviamente, di un sistema di trasmissione delle informazioni sottratte meno efficiente e meno rapido di quello che la Central Intelligence Agency può mettere a segno quando prende di mira dei computer online – perché di fatto è un sistema che fa affidamento sulla possibilità che, prima o poi, qualcuno collegherà la chiavetta Usb dalla rete air gapped a una macchina online – ma è una soluzione che consente di compromettere reti altrimenti irraggiungibili.
Una delle caratteristiche interessanti di questo strumento è il meccanismo con cui nasconde i dati rubati che poi rimanda indietro alla Cia: una delle tecniche, ad esempio, prevede di aggiungere le informazioni sottratte a un file che esiste già, modificandolo, però, in modo che i dati rubati non siano visibili osservando, per esempio, la grandezza del file. Ma per quanto intelligente, Brutal Kangaroo ha comunque delle limitazioni. Innanzitutto funziona solo su macchine con sistema operativo Windows e poi ha il problema che alcuni programmi antivirus sono particolarmente efficaci nell’individuarlo, tipo BitDefender.
I documenti segreti sul programma Brutal Kangaroo sono parte dell’enorme giacimento Vault 7 che WikiLeaks ha iniziato a pubblicare nel marzo scorso. Quello che colpisce è che gran parte delle cyber armi in esso contenute e finora rivelate da WikiLeaks prende di mira computer con sistema operativo Windows, probabilmente perché è quello più diffuso.
A differenza degli altri materiali in Vault 7, i file su Brutal Kangaroo danno qualche indicazione, seppure molto limitata, sul tipo di operazioni in cui la Central intelligence Agency potrebbe aver bisogno di cyber armi come questa. “La comunità di intelligence”, recita uno dei documenti, “ha identificato il bisogno di condurre verifiche su un asset attraverso una ricerca segreta del computer dell’asset”. Il termine asset, nel linguaggio dell’intelligence, indica una risorsa umana o tecnica che permette un’operazione di spionaggio: può trattarsi di un agente sul campo o anche di un informatore che ha un accesso da insider a certi documenti e dati. Brutal Kangaroo sembra dunque sviluppato da Langley per verificare l’affidabilità delle sue fonti di intelligence, spiando segretamente nei loro computer più protetti: quelli air gapped.
I file pubblicati oggi non sono pericolosi: Wikileaks non ha rilasciato nel pubblico dominio il malware, ma i manuali che rivelano come funziona. Si tratta di materiali che possono aiutare le aziende antivirus ad aggiornare i loro prodotti per renderli più efficaci e in grado di rilevare sistematicamente Brutal Kangaroo. Questi documenti aiutano anche l’opinione pubblica a prendere coscienza di quanto sia importante osservare regole di “igiene informatica” di base, come evitare di usare su un computer online una chiavetta Usb che è stata precedentemente usata su una macchina air gapped.
Da oltre tre mesi, ormai, l’organizzazione di Julian Assange pubblica i file segreti della Cia e, ad oggi, non risulta che la fonte di questi documenti sia stata individuata e arrestata, nonostante la caccia in grande stile partita immediatamente dopo l’inizio delle pubblicazioni. Considerata, però, la reazione furiosa di Langley alla rivelazione di questi materiali da parte di Wikileaks, non è difficile immaginare che la caccia andrà avanti ad oltranza. (fonte)
