Hoe de CIA offline systemen besmet met malware
In recent gelekte bestanden op Wikileaks staat beschreven hoe de CIA air-gapped systemen besmet met malware. Via een computer die wel met het internet verbonden is, zoekt de malware van het agentschap zich een weg naar een air-gapped systeem. Hier verzamelt de kwaadaardige software informatie, waarna deze info via de eerste computer naar de CIA wordt verstuurd. Zoals wel vaker rekent de malware op onvoorzichtige mensen om zijn eindbestemming te bereiken.
Air-gapped
Air-gapped systemen worden aanzien als erg veilig, aangezien ze niet verbonden zijn met het internet en de rest van het bedrijfsnetwerk. Hierdoor is het in theorie onmogelijk voor malware om via het netwerk van een firma over te springen op de sterk beveiligde computer. De meest kostbare bestanden van bedrijven worden daarom bewaard op air-gapped computers.
Eerder werden echter al methodes gevonden om de kostbare informatie van air-gapped toestellen toch te ontvreemden. Hierbij wordt gebruik gemaakt van het geluid van een harde schijf, of de warmteoutput van het systeem. De CIA heeft echter een meer geavanceerde methode ontwikkeld om aan de kostbare info van bedrijven te geraken. De methode van het agentschap teert op de onvoorzichtigheid van bedrijfsmedewerkers die fysiek toegang hebben tot de air-gapped computer.
Brutal Kangaroo
De malware, Brutal Kangaroo genaamd, besmet een bedrijfscomputer die wel met het internet verbonden is. Dat toestel wordt de primaire host genoemd en dient als tijdelijke opslagplaats van de malware. Brutal Kangaroo doet niets op de primaire host en wacht tot een externe drive wordt aangesloten. De malware kopieert zichzelf naar de USB-stick en wacht wederom tot het juiste moment om in actie te schieten. Wanneer de externe drive wordt gekoppeld aan een air-gapped systeem kopieert Brutal Kangaroo zichzelf een laatste maal en verzamelt de malware op de achtergrond informatie.
De verzamelde info wordt op de USB-stick opgeslagen, maar kan nog niet onmiddellijk naar de CIA worden doorgestuurd. Hiervoor is immers een internetverbinding nodig. Pas wanneer de drive weer wordt verbonden met de primaire host is de cirkel rond en kan de CIA de kostbare info bemachtigen.
Tot deze informatie behoren niet alleen bestanden van de besmette air-gapped computer, maar eveneens info afkomstig van andere air-gapped toestellen. Brutal Kangaroo richt immers een netwerk op de beveiligde computer op, waardoor andere computers die zich in het air-gapped netwerk bevinden eveneens worden gecompromitteerd.