Атака «Брутального кенгуру», или Как ЦРУ заражает компьютеры, отключенные от Интернета



Атака «Брутального кенгуру», или Как ЦРУ заражает компьютеры, отключенные от Интернета


Документы WikiLeaks проливают свет на то, как ЦРУ использует USB-накопители для проникновения в компьютерные сети, содержащие настолько важную информацию, что их даже не подключают к Интернету.

Федеральное агентство новостей представляет перевод статьи «Как ЦРУ заражает компьютеры, отключенные от Сети», опубликованной информационным ресурсом Ars Technica.

Более 150 страниц материалов, опубликованных WikiLeaks, описывают пакет программ под кодовым названием Brutal Kangaroo. Эти программы способны атаковать компьютеры и сети, которые не подключены к Интернету.

При этом заражение происходит в несколько шагов. Сначала на компьютер, представляющий интерес, устанавливается вирус под названием Drifting Deadline. Тот, в свою очередь, заражает любой подключенный к компьютеру USB-накопитель. Если после этого флешка подключается к компьютеру, изолированному от Интернета, она заражает его одной или несколькими вредоносными программами.

В компании Microsoft настаивают, что ни один из этих эксплойтов не работает в поддерживаемых версиях Windows. Тем не менее зараженные USB-накопители иногда были способны загружать на компьютеры вирусы, даже если никто не открывал на них никакие файлы. Так называемый эксплойт EZCheese, который должен быть нейтрализован патчем Windows, выпущенным в 2015 году, запускался всякий раз, когда его иконка зажигалась в проводнике Windows.



Более поздний эксплойт, известный под названием Lachesis, использовал функцию автозапуска системы для заражения компьютеров, на которых была установлена Windows 7. Lachesis не требовал, чтобы в проводнике отображались какие-либо иконки, однако в адрес зараженного файла добавлялась информация об имени подключенного USB-устройства. В свою очередь, эксплойт RiverJack использовал библиотеки Windows для заражения компьютеров с системами Windows 7, 8 и 8.1.

В заявлении компании Microsoft говорится: «Наше расследование подтвердило, что клиенты, использовавшие поддерживаемые версии Windows, не пострадали. Для лучшей защиты от современных угроз безопасности мы рекомендуем Windows 10, которая автоматически обновляется по умолчанию».



Обнародованные WikiLeaks документы утверждают, что исходный компьютер, на котором установлен Dreafting Deadline или его более ранние версии, известные как Shattered Assurance и Emotional Simian, должен быть заражен вручную. Если так, то Brutal Kangaroo не столь эффективен, как обычные USB-атаки, используемые Stuxnet и Frame. В любом случае, в рассекреченных документах ЦРУ говорится об этом очень мало.

Как кажется, нет никаких причин, из-за которых вирус Driftinng Deadline не может также быть передан через USB-устройство. Одной зараженной флешки будет достаточно, чтобы заразить компьютерную сеть, не соединенную с Интернетом.