{"id":5139,"date":"2017-07-01T00:16:23","date_gmt":"2017-07-01T03:16:23","guid":{"rendered":"https:\/\/www.kwell.net\/kwell_blog\/?p=5139"},"modified":"2017-06-26T21:24:07","modified_gmt":"2017-06-27T00:24:07","slug":"brutal-kangaroo-herramienta-de-la-cia-para-infectar-redes-air-gap-wikileaks","status":"publish","type":"post","link":"https:\/\/www.kwell.net\/kwell_blog\/?p=5139","title":{"rendered":"Brutal Kangaroo: herramienta de la CIA para infectar redes air-gap [Wikileaks]"},"content":{"rendered":"

WikiLeaks ha publicado un nuevo lote de informaci\u00f3n sobre Vault7<\/a>, en donde se detallan un conjunto de herramientas que est\u00e1 siendo utilizado por la CIA para infiltrarse en sistemas cerrados o air-gap<\/i> (sin conexi\u00f3n a Internet).<\/p>\n

Bajo el nombre de Brutal Kangaroo<\/b><\/a>, la Agencia Central de Inteligencia (CIA) dise\u00f1\u00f3 una herramienta para infiltrarse en una una organizaci\u00f3n o empresa sin necesidad de acceso directo. La versi\u00f3n anterior de Brutal Kangaroo<\/i> denominada EZCheese<\/i>, explotaba una vulnerabilidad 0-Day hasta marzo de 2015<\/a>, pero la versi\u00f3n m\u00e1s reciente usa vulnerabilidad relacionada con el manejo de archivos<\/a> (denominadas EZCheese, RiverJack, Boomslang y Lachesis<\/i>) en una funcionalidad Library-MS del sistema operativo.<\/p><\/blockquote>\n

<\/p>\n

<\/div>\n

Al igual que la mayor\u00eda de las t\u00e9cnicas de malware de air-gap<\/i>, esta herramienta de hacking<\/i> primero infecta una computadora conectada a Internet dentro de la organizaci\u00f3n y, a continuaci\u00f3n, instala el malware Brutal Kangaroo<\/i> en \u00e9l. Incluso si es dif\u00edcil llegar a una PC conectada a Internet dentro de la organizaci\u00f3n, se puede infectar una computadora de uno de los empleados y esperar a que el empleado inserte un USB en su computadora. Tan pronto como un usuario inserta el USB, se utiliza otra herramienta llamada Shattered Assurance<\/i> para infectarlo con un malware llamado Derfting Deadline<\/i>.<\/p>\n

La unidad es infectada debido a una falla en el sistema operativo Windows que puede explotarse para cargar y ejecutar DLLs sin interacci\u00f3n del usuario. Cuando la unidad USB infectada se utiliza para compartir datos con otros equipos, el malware tambi\u00e9n se propaga a esos sistemas.<\/p>\n

“Si varios ordenadores de la red cerrada est\u00e1n bajo el control de la CIA, forman una red encubierta para coordinar las tareas y el intercambio de datos. Aunque no est\u00e1 expl\u00edcitamente en los documentos, este m\u00e9todo de comprometer redes cerradas es muy similar a c\u00f3mo funcion\u00f3 Stuxnet”<\/i>, dijo WikiLeaks .<\/p>\n

Los componentes de Brutal Kangaroo<\/i> crean una red encubierta personalizada dentro de la red cerrada objetivo y proporcionan funcionalidad para ejecutar recolecci\u00f3n de informaci\u00f3n.<\/p>\n

El malware entonces comienza a recolectar datos de las computadoras infectadas y, otro m\u00f3dulo llamado “Broken Promise”, analiza los datos para extraer informaci\u00f3n jugosa.<\/p>\n

Hay 6 p\u00e1ginas adicionales sobre un m\u00f3dulo de escalamiento de privilegio y otras 8 p\u00e1ginas m\u00e1s con tres m\u00f3dulos “secretos”, aunque Wilieaks ha decidido publicarlas, seguramente porque dar\u00edan informaci\u00f3n a delincuentes.<\/p>\n

Filtraciones anteriores en el marco de Vault 7<\/a>:<\/h3>\n