Cuando los cortafuegos, los servicios de monitoreo de la red y el software antivirus no son suficientes, siempre ha habido una manera segura de proteger computadoras que controlan operaciones sensibles como redes eléctricas y bombas de agua: cortarlos completamente de Internet. Pero los nuevos documentos publicados por WikiLeaks el 22 de junio sugieren que incluso cuando se toman medidas tan extremas, ninguna computadora está a salvo de hackers motivados y bien dotados de recursos.
Los 11 documentos describen un software llamado «Brutal Kangaroo», un conjunto de herramientas diseñadas para infiltrar computadoras aisladas y «air-gapped» dirigidas a redes conectadas a internet dentro de la misma organización. Es la última publicación en la serie «Vault 7» de documentos filtrados, que describen una miríada de herramientas de hacking que WikiLeaks dice pertenecen a la Agencia Central de Inteligencia (CIA, por sus siglas en inglés).
Brutal Kangaroo trabaja mediante la creación de un camino digital de un atacante a una computadora y la espalda aire-gapped. El proceso comienza cuando un hacker infecta de manera remota a un ordenador conectado a Internet en la organización o instalación que se está apuntando. Una vez que ha infectado esa primera computadora, lo que los documentos se refieren como el «anfitrión primario,» el canguro brutal espera. No se puede propagar a otros sistemas hasta que alguien enchufe una unidad USB en la primera.
Una vez que alguien lo hace, el malware específico de la marca y el modelo de la unidad de disco se copia en él, ocultándose en archivos LNK modificados que Microsoft Windows utiliza para representar iconos de escritorio y en archivos DLL que contienen programas ejecutables. A partir de este punto, Brutal Kangaroo propagará más malware a cualquier sistema en el que se encuentre conectado el pen drive. Y esos sistemas infectarán cada unidad que esté conectada a ellos, y así sucesivamente, y la idea es que eventualmente una de esas unidades se conectará a la computadora con el aire comprimido.
La falla principal en el concepto de aislar los ordenadores sensibles es que el entrehierro alrededor de ellos sólo puede mantenerse si nadie necesita copiar archivos dentro o fuera de ellos. Pero incluso para sistemas especializados, siempre hay actualizaciones y parches para instalar, e información que tiene que ser alimentada o extraída. Es de conocimiento común entre los especialistas de TI que los discos duros externos son un objetivo obvio para cualquier persona que busca romper el entrehierro, y las precauciones son presumiblemente tomadas en las instalaciones con especialistas en TI diligentes. Esas precauciones, sin embargo, pueden ser subvertidas con explotaciones de vulnerabilidades oscuras, ya veces los errores simplemente suceden.
Si una unidad de pulgar infectada con Canguru Brutal se conecta a un ordenador con espacio vacío, se copia inmediatamente en él. Si un usuario intenta examinar el contenido de la unidad infectada en ese equipo, provocará un malware adicional que recopilará datos del equipo. A medida que los usuarios continúan conectando la unidad a computadoras conectadas y desconectadas, se forma un relé, que finalmente crea una ruta lenta de regreso al hacker, a través de la cual los datos copiados de la computadora se entregarán si todo va según lo planeado.
Muchos de los detalles descritos en los documentos de Canguros Brutos han hecho comparaciones con Stuxnet, el poderoso programa malicioso desarrollado por Estados Unidos e Israel para sabotear el programa nuclear de Irán. Stuxnet fue construido específicamente para apuntar a las computadoras de aire comprimido que controlaban centrífugas en una instalación nuclear iraní. Los atacantes en ese caso no apuntaron a una red conectada a Internet dentro de la instalación nuclear, presumiblemente porque no había uno, sino que se dirigieron a cinco organizaciones externas, según un informe de 2014 en Wired. A partir de ahí, sin embargo, el ataque funcionó de la misma manera que los métodos descritos en los documentos de Kangaroo Brutal: Stuxnet también se extendió a través de unidades de pulgar, se escondió en archivos LNK e intentó crear un relé para enviar información a los atacantes.
Stuxnet fue finalmente descubierto por los investigadores de seguridad porque era demasiado poderoso, y se extendió a mucho más computadoras de lo que sus creadores aparentemente lo quería. Los desarrolladores de Brutal Kangaroo parecen haber tomado una lección de eso, y ha descrito varias comprobaciones en sus documentos que evitarán que se propague si se cumplen ciertos factores. Cada vez que aterriza en una nueva computadora, Brutal Kangaroo comprueba primero la fecha de la computadora. Si es pasado una fecha codificada en el malware, «el programa saldrá inmediatamente», según los documentos. También comprueba algún tipo de «lista negra» y se cerrará si el equipo está en él. También dejará el canguro brutal «si la computadora hubiera sido vista antes.»
Los documentos de Kangaroo Brutal son sólo la última revelación sobre lo que los hackers de la CIA son supuestamente capaces de hacer. Las publicaciones anteriores de Vault 7 han incluido documentos que sugieren que la agencia puede convertir los televisores inteligentes en dispositivos de escucha , hackear varios sistemas operativos de escritorio y móviles y supervisar el tráfico de Internet al invadir routers wifi domésticos . En abril, Symantec comparó varias herramientas descritas en los lanzamientos de software invasivo que había estado rastreando desde 2014. Ese malware había infectado al menos 40 objetivos en 16 países desde 2011, dijo la compañía en un blog, y posiblemente estuvo activo hasta ahora Como 2007.
La CIA no ha confirmado su propiedad de los documentos o herramientas, pero como señaló la Motherboard en marzo pasado, funcionarios estadounidenses dijeron en la corte que los documentos contienen información clasificada, lo que sugiere que las filtraciones son de hecho auténticas.