Recept CIA pro sledování odpojených počítačů odhalen

Pro sledování počítačů odpojených od sítí (tzv. air-gapped) se zkoušelo využít více technik, které spoléhaly na vedlejší projevy takových systémů, jako je třeba výdej tepla, hluk ventilátorů nebo i odposlech tichého cvakání hlaviček v pevných discích, což jsou ale mimořádně složité, nepraktické, pomalé a nespolehlivé metody. V praxi měla CIA dle Wikileaks používat jednoduchou metodu, která spoléhala na lidský faktor a trpělivost. 

 

 

Způsob šíření virů pomocí jen tak "zapomenutých" flash disků je dobře znám a není divu, že si jej všimly také americké služby. Zde se spoléhá čistě na lidský faktor, přičemž není vůbec neobvyklé, že lidé nepřistupují k nalezeným flash diskům jako k bezpečnostnímu riziku a jsou je schopni bez okolků zapojit ke svému počítači, aby ukojili svou zvědavost a zjistili, co na nich je. Může na nich být nastražený virus, přičemž tento způsob jejich šíření je velice starý a my jej dobře známe z praxe už z dob disket. 

 

Pokud tedy agenti CIA chtěli získat data z počítačů, které byly zcela odpojeny od sítí a nebylo možné se k nim jinak dostat, mohli v okolí člověka, jenž k nim přístup měl, nastražit na oko zapomenutý flash disk a pak už jen čekat. Popřípadě mohli jen zaútočit na blízký počítač, který už k internetu připojen byl a čekat, až někdo využije flash disk jako nosič malwaru. 

 

V každém případě, daný flash disk byl obohacen malwarem známým jako Brutal Kangaroo, který se z hostitelského systému dostal na cílový, na který se zkopíroval, začal sbírat data (třeba pomocí keyloggeru) a také mohl mít za úkol smazat předem definované soubory. 

 

 

Pak se musí znovu čekat, a to na další flash disk, díky němuž by se malware s nasbíranými daty mohl dostat opět na systém napojený na Internet. 

 

Brutal Kangaroo měl také počítat s tím, že cílový počítač je napojen na samostatnou lokální síť počítačů, která je jinak zcela samostatná, takže dokázal vynést ven data i z ostatních počítačů v ní zapojených. O tomto celém mluvíme v minulém čase, neboť jde již o starší metody, které CIA měla používat, a jako takové už mohou být zastaralé. 

 

Co ale ochrana proti takovým útokům? Dle Wikileaks je mohly překazit jisté antiviry běžící na cílovém počítači, a to například BitDefender od Symantecu. Otázka je, zda někdo vůbec řešil antivirovou ochranu u počítačů odpojených od Internetu a pokud ne, je nasnadě, že se moc neřešila ani disciplína při jejich využití.

 

Zdroj: Motherboard, Extremetech