WikiLeaks telah menerbitkan sebuah batch baru dari kebocoran Vault 7 yang sedang berlangsung, kali ini merinci sebuah tool suite – yang digunakan oleh CIA untuk Microsoft Windows yang menargetkan “jaringan tertutup oleh Air-Gap jumping menggunakan thumb drive,” yang terutama diterapkan di perusahaan dan infrastruktur kritis.
Dijuluki Brutal Kangaroo (v1.2.1), setelan alat tersebut diduga dirancang oleh Central Intelligence Agency (CIA) pada tahun 2012 untuk menyusup ke jaringan tertutup atau komputer yang terpasang di dalam organisasi atau perusahaan tanpa memerlukan akses langsung.
Komputer Air-Gapped yang terisolasi dari internet atau jaringan eksternal lainnya yang diyakini sebagai komputer paling aman di planet ini telah menjadi target reguler dalam beberapa tahun terakhir.
Versi sebelumnya dari Brutal Kangaroo dinobatkan sebagai EZCheese, yang memanfaatkan kerentanan zero-day sampai Maret 2015, meskipun versi yang lebih baru menggunakan “kerentanan file link yang tidak diketahui (Lachesis/RiverJack) yang berkaitan dengan fungsi library-ms dari sistem operasi.“
Inilah Cara Kerja Serangan Air-Gap
Seperti kebanyakan teknik malware yang kami laporkan, alat hacking ini pertama kali menginfeksi komputer yang tersambung ke internet dalam organisasi target dan kemudian menginstal malware Brutal Kangaroo di dalamnya.
Bahkan jika sulit menjangkau PC yang tersambung ke internet dalam organisasi target, mereka dapat menginfeksi komputer dari salah satu karyawan organisasi dan kemudian menunggu karyawan memasukkan USB drive ke komputernya.
Sekarang, segera setelah pengguna (karyawan organisasi) memasukkan USB stick ke komputer yang terinfeksi, Shattered Assurance, alat server menginfeksi USB drive dengan malware terpisah, yang disebut Drifting Deadline (juga dikenal sebagai ‘Emotional Simian’ di versi terbaru).
USB drive menginfeksi dengan bantuan kerentanan pada sistem operasi Microsoft Windows yang dapat dimanfaatkan oleh file tautan buatan tangan (.lnk) untuk memuat dan menjalankan program (DLL) tanpa interaksi pengguna.
“Berkas .lnk harus dilihat di windows explorer, dan alat akan dijalankan secara otomatis tanpa masukan lebih lanjut.” menurut panduan tool tersebut.
Ketika USB drive yang terinfeksi digunakan untuk berbagi data dengan komputer Air-Gapped, malware menyebar ke sistem tersebut juga.
“Jika beberapa komputer di jaringan tertutup berada di bawah kendali CIA, mereka membentuk jaringan rahasia untuk mengkoordinasikan tugas dan pertukaran data. Meskipun tidak disebutkan secara eksplisit dalam dokumen, metode kompromi jaringan tertutup ini sangat mirip dengan bagaimana Stuxnet bekerja,” kata WikiLeaks.
“Komponen Brutal Kangaroo membuat jaringan rahasia khusus di dalam jaringan target tertutup dan menyediakan fungsionalitas untuk melaksanakan survei, daftar direktori, dan file executable sewenang-wenang,” baca sebuah manual CIA yang bocor.
Malware kemudian mulai mengumpulkan data dari komputer Air-Gapped yang terinfeksi (yang memanfaatkan Shadow, mekanisme persistensi utama) secara diam-diam dan sebuah modul dalam setelan Brutal Kangaroo, yang dijuluki “Broken Promise,” menganalisis data untuk informasi.
Pekan lalu, WikiLeaks mengekspos framework CIA yang digunakan untuk memantau aktivitas Internet dari sistem yang ditargetkan dengan memanfaatkan kerentanan pada perangkat Wi-Fi.
Dijuluki “Cherry Blossom“, framework ini pada dasarnya adalah implan berbasis firmware yang dapat dikendalikan dari jarak jauh untuk perangkat jaringan nirkabel, termasuk router dan titik akses nirkabel (AP), yang memanfaatkan kerentanan router untuk mendapatkan akses yang tidak sah dan kemudian mengganti firmware dengan firmware Cherry Blossom.
Sejak bulan Maret, WikiLeaks telah menerbitkan 12 batch seri “Vault 7“, yang mencakup kebocoran terbaru dan terakhir.
