維基解密披露CIA利用「野蠻袋鼠」滲透封閉網路

科技 06-24

E安全訊美國時間6月22日，維基解密披露發布了CIA
Vault7系列的第十二批文件，分別是「野蠻袋鼠（Brutal Kangaroo）」和「情感猿猴（Emotional
Simian）」項目。披露的文件詳細描述了美國情報機構如何遠程隱蔽地入侵訪問封閉的計算機網路或獨立的網閘設備（Air-Gapped
Devices，從未連接過互聯網的設備）。而這兩個項目的工具只針對微軟Windows操作系統。

本文系E安全獨家編譯報道

野蠻袋鼠（Brutal Kangaroo）

根據維基解密發布的消息，「野蠻袋鼠」是用於微軟Windows操作系統的工具套件，通過使用U盤或快閃記憶體（thumbdrives）的網閘擺渡來入侵封閉的網路。野蠻袋鼠組件在目標封閉網路內創建一個定製化的隱蔽網路，並提供調查執行、目錄列表和任意文件執行等功能。一般金融機構，軍事和情報機構，核電行業都會使用封閉網路以保護重要數字資產。

維基解密披露CIA利用「野蠻袋鼠」滲透封閉網路

此次披露的文件描述了CIA如何能夠在無法直接訪問的情況下滲透組織或企業內的封閉網路（或安全隔離網閘的獨立計算機）。

首先，感染目標內的一台接入互聯網的計算機（稱為「主要宿主primary host」），並在這台計算機上安裝「野蠻袋鼠」惡意軟體。當用戶使用「主要宿主」並插入U盤或快閃記憶體盤時，U盤或快閃記憶體盤自身會被單獨的惡意軟體感染。

如果這個U盤或快閃記憶體盤用於在封閉的網路和LAN（區域網）/WAN（廣域網）之間複製數據，用戶將會遲早將U盤或快閃記憶體盤插入到封閉網路中的計算機上，惡意軟體就會向袋鼠一樣跳來跳去感染封閉網路內的其他設備。通過在這種受保護的計算機上使用Windows資源管理器瀏覽USB驅動器，它也會感染滲透或探測惡意軟體。

如果封閉網路中的多台計算機處於CIA控制之下，構成一個隱蔽網路來協同任務和數據交換。

竊取的數據可以再次返回到CIA，這取決於有人將封閉網路計算機上使用的USB連接到在線設備。

維基解密披露CIA利用「野蠻袋鼠」滲透封閉網路

本文系E安全獨家編譯報道

雖然此次泄露的文檔中沒有明確說明，但是這種破壞封閉網路的方法與世界上首個網路超級破壞性武器「震網病毒（Stuxnet）」的工作方式非常相似（詳見《震網病毒紀錄片《零日.Zero Days.2016》HD1080P E安全獨家中文字幕》）。

據稱CIA在2012年-也就是在伊朗的Stuxnet事件發生兩年後開始制定「野蠻袋鼠」項目。

野蠻袋鼠項目包括以下組件

Drifting
Deadline：用於感染U盤或快閃記憶體盤的惡意工具；

Shattered
Assurance：這是一個伺服器工具，處理U盤或快閃記憶體盤的自動感染（該工具是野蠻袋鼠套件的主要傳播手段）；

Broken
Promise：野蠻袋鼠後處理器（用於評估收集的信息），

Shadow：是主要的駐留機制（第2階段工具，分布在封閉的網路中，充當隱蔽的命令和控制網路；一旦安裝了多個Shadow實例並共享驅動器，任務和Payloads就能來回發送）。

受感染的USB設備使用的主要執行向量是微軟Windows操作系統中的一個漏洞，可以通過特製的鏈接文件來利用這些漏洞，這個特製文件可以在沒有用戶交互的情況下載入和執行程序（DLL）。舊版本的工具套件使用了一種稱為EZCheese的機制，這在2015年3月前一直是零日漏洞利用程序（CVE-2015-0096）;

較新版本似乎使用了類似但尚未知的鏈接文件漏洞，與Windows操作系統的庫描述文件library-ms有關。