Wikileaks: CIA tem software para extrair dados de PCs 'desconectados'


O Wikileaks liberou novos documentos na série "Vault 7", trazendo desta vez informações sobre um programa chamado "Brutal Kangaroo" destinado a permitir a extração de dados de computadores desconectados. Segundo as informações, a Agência Central de Inteligência dos Estados Unidos (CIA) usava um conjunto de programas executados através de pen drives USB para contaminar e extrair dados de computadores que não podiam ser acessados pela internet.

O "Vault 7" é uma série de vazamentos iniciada no dia 7 de março e que expõe documentos e programas da CIA. O Wikileaks afirma que essas informações já estavam fora do controle da CIA e que elas circulavam até entre "hackers governamentais" que não deviam ter acesso a esses documentos. Um desses hackers teria decidido repassar tudo ao Wikileaks. Não há confirmação da legitimidade dos documentos.

Diferente do "Shadow Brokers", que vem vazando informações da Agência de Segurança Nacional dos Estados Unidos (NSA), o Wikileaks não disponibiliza as ferramentas de espionagem em si, apenas a documentação que detalha o funcionamento dos programas.



A "suíte" de ataque Brutal Kangaroo, segundo os documentos, é composta dos seguintes programas:

Drifting Deadline: Um programa para infectar computadores através de pen drives

Shattered Assurance: Uma ferramenta que infecta automaticamente pen drives, instalando neles o "Drifting Deadline".

Shadow: o componente de persistência instalado pelo Drifting Deadline. Ele é capaz de formar uma rede entre os computadores infectados, com os pen drives servindo como meio de comunicação e controle. Por exemplo, se três computadores com o Shadow formam uma rede fechada entre si, mas sem acesso externo, é possível enviar comando ao "Shadow" nos três computadores apenas conectando um pen drive em um deles.

Broken Promise: Um "pós-processadores" do Brutal Kangaroo. Os documentos expostos pelo Wikileaks não descrevem em detalhes essa ferramenta, mas é descrita outra ferramenta, que talvez seja a mesma, que é chamada de "Shadow postprocessor". Ela é capaz de juntar os arquivos coletados pelo Shadow e exportá-los para um formato legível.

Os documentos expostos pelo Wikileaks dizem ainda que a extração dos dados pode se dar através de diversas formas. Entre elas, é possível usar o chamado Alternate Data Stream (ADS), um recurso do Windows para armazenamento de metadados que fica oculto na interface do sistema. Assim, é possível gravar uma série de arquivos sem que nada fique listado no pen drive.

Também é possível esconder dados em arquivos de imagem. E o "Shadow" é capaz de criar repartições ocultas em todos os pen drives conectados ao computador, de modo a garantir que um espião consiga extrair informações do computador alvo. 

O documento principal do Brutal Kangaroo é um dos mais recentes já lançados pelo Wikileaks, pois é datado de fevereiro de 2016. Mas outros documentos indicam que o projeto do Brutal Kangaroo em si é mais antigo: o "Drifting Deadline", por exemplo, já é segunda ferramenta da suíte para infectar computadores. A original, chamada de "EzCheese", chegou à versão 6.3 em 2013.
Tecnologia do Blogger.