Nieuws

Hoe de CIA offline systemen besmet met malware

Air-gapped systemen zijn erg moeilijk te besmetten, aangezien ze niet met het internet verbonden zijn. De CIA heeft echter een manier gevonden om op zo’n sterk beveiligde computer te geraken.

In recent gelekte bestanden op Wikileaks staat beschreven hoe de CIA air-gapped systemen besmet met malware. Via een computer die wel met het internet verbonden is, zoekt de malware van het agentschap zich een weg naar een air-gapped systeem. Hier verzamelt de kwaadaardige software informatie, waarna deze info via de eerste computer naar de CIA wordt verstuurd. Zoals wel vaker rekent de malware op onvoorzichtige mensen om zijn eindbestemming te bereiken.

Air-gapped

Air-gapped systemen worden aanzien als erg veilig, aangezien ze niet verbonden zijn met het internet en de rest van het bedrijfsnetwerk. Hierdoor is het in theorie onmogelijk voor malware om via het netwerk van een firma over te springen op de sterk beveiligde computer. De meest kostbare bestanden van bedrijven worden daarom bewaard op air-gapped computers.

Eerder werden echter al methodes gevonden om de kostbare informatie van air-gapped toestellen toch te ontvreemden. Hierbij wordt gebruik gemaakt van het geluid van een harde schijf, of de warmteoutput van het systeem. De CIA heeft echter een meer geavanceerde methode ontwikkeld om aan de kostbare info van bedrijven te geraken. De methode van het agentschap teert op de onvoorzichtigheid van bedrijfsmedewerkers die fysiek toegang hebben tot de air-gapped computer.

Brutal Kangaroo

De malware, Brutal Kangaroo genaamd, besmet een bedrijfscomputer die wel met het internet verbonden is. Dat toestel wordt de primaire host genoemd en dient als tijdelijke opslagplaats van de malware. Brutal Kangaroo doet niets op de primaire host en wacht tot een externe drive wordt aangesloten. De malware kopieert zichzelf naar de USB-stick en wacht wederom tot het juiste moment om in actie te schieten. Wanneer de externe drive wordt gekoppeld aan een air-gapped systeem kopieert Brutal Kangaroo zichzelf een laatste maal en verzamelt de malware op de achtergrond informatie.

De verzamelde info wordt op de USB-stick opgeslagen, maar kan nog niet onmiddellijk naar de CIA worden doorgestuurd. Hiervoor is immers een internetverbinding nodig. Pas wanneer de drive weer wordt verbonden met de primaire host is de cirkel rond en kan de CIA de kostbare info bemachtigen.

Tot deze informatie behoren niet alleen bestanden van de besmette air-gapped computer, maar eveneens info afkomstig van andere air-gapped toestellen. Brutal Kangaroo richt immers een netwerk op de beveiligde computer op, waardoor andere computers die zich in het air-gapped netwerk bevinden eveneens worden gecompromitteerd.

BeveiligingBrutal Kangaroociawikileaks

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken