December 7, 2024

WikiLeaks ออกมาแฉ CIA อีกรอบ คราวนี้ใช้ Brutal-Kangaroo โจมตีคอมพิวเตอร์ระบบปิดด้วย Thumbs Drive

WikiLeaks เผยแพร่รายละเอียดของการโจมตี Vault 7 โดยในคราวนี้เป็นการเล่าถึงเครื่องมือที่หน่วยงานอย่าง CIA ใช้ในการโจมตี โดยพุ่งไปที่ระบบคอมพิวเตอร์ Air-Gapped ซึ่งเป็นคอมพิวเตอร์ในระบบปิด (ใช้ระบบปฏิบัติการวินโดวส์ของไมโครซอฟท์) และถูกตั้งแยกออกมาจากระบบเน็ตเวิร์กอื่น ๆ ได้แล้วด้วย “ธัมป์ไดรว์”

โดย Air-Gapped Computer เป็นคอมพิวเตอร์ชนิดหนึ่งที่มักใช้งานกันในองค์กรขนาดใหญ่ หรือโครงสร้างพื้นฐานที่ต้องการระบบความปลอดภัยสูง โดยก่อนหน้านี้เชื่อกันว่า Air-Gapped Computer นั้นเป็นระบบที่มีความปลอดภัยสูงเป็นลำดับต้น ๆ ของโลกด้วยเนื่องจากการจะเจาะระบบของ Air-Gapped Computer ได้นั้นต้องสามารถเข้าไปจนถึงตัวคอมพิวเตอร์ได้ อย่างไรก็ดี จากการเปิดเผยของวิกิลีกนั้นพบว่า  Air-Gapped Computer ตกเป็นเป้าหมายของการโจมตีมาแล้วไม่ต่ำกว่า 2 – 3 ปี

ชุดเครื่องมือดังกล่าวมีชื่อว่า Brutal Kangaroo (v1.2.1) โดยพบว่าซีไอเอพัฒนาขึ้นในปี 2012 เพื่อใช้ในการแทรกซึมเข้าไปในระบบเน็ตเวิร์กแบบปิดหรือใน   Air-Gapped Computer ได้โดยไม่ต้องใช้การเข้าถึงโดยตรง

โดยการโจมตี  Air-Gapped Computer นั้นสามารถทำได้ดังนี้

001

วิธีการโจมตีนั้นจะเห็นได้ว่าเริ่มจากการส่งมัลแวร์ผ่านอินเทอร์เน็ตมายังคอมพิวเตอร์ขององค์กรที่เล็งเอาไว้ จากนั้นค่อยส่งตัว Brutal Kangaroo มายังคอมพิวเตอร์เครื่องนั้นอีกที

use01

use02

ถึงแม้การบุกเข้าไปยังคอมพิวเตอร์ที่มีอินเทอร์เน็ตจะทำได้ยากในองค์กร มัลแวร์ดังกล่าวก็จะอดทนรอ โดยอาจแฝงตัวอยู่กับเครื่องคอมพิวเตอร์ของพนักงานรายใดรายหนึ่งไปก่อน และรอจนกว่าพนักงานจะมีการเสียบไดรว์ USB เข้าไปในคอมพิวเตอร์ มันก็จะย้ายตัวเองเข้าไปอยู่ในธัมป์ไดรว์ทันที และรอจนกว่าพนักงานจะตายใจและเสียบมันเข้าไปในคอมพิวเตอร์ระบบปิดเท่านั้น use03

เมื่อเข้าไปได้แล้ว มันก็จะเริ่มเก็บข้อมูลของ  air-gapped computers และซ่อนตัวไปด้วยพร้อม ๆ กัน

นอกจากนั้นแล้ว ซีไอเอยังมี “Cherry Blossom” เฟรมเวิร์กสำหรับใช้ควบคุมอุปกรณ์เน็ตเวิร์กจากระยะไกล (http://www.eworldmag.com/cia-wireless-router-hacking-tool/)

ที่มา http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html

Leave a Reply

Your email address will not be published. Required fields are marked *