Brutal Kangaroo : une autre révélation à double-tranchant

Le tout dernier outil attribué à la CIA et dévoilé par Wikileaks, dans le cadre du lot Vault 7, pourrait représenter une menace supplémentaire pour les systèmes isolés, en air-gap, si des pirates parvenaient à en réaliser la rétro-ingénierie. Baptisé Brutal Kangaroo, celui-ci mise sur une infection de clé USB pour compromettre ces environnements. De quoi rappeler Stuxnet.

Wikileaks relève ainsi que « Brutal Kangaroo est un ensemble d’outils pour Microsoft Windows qui vise les réseaux fermés en contournant leur isolation via des clés USB ». Il permet de « créer un réseau spécifique caché au sein du réseau fermé cible pour assurer reconnaissance, inventaire, et exécution de codes arbitraires ».

Jake Williams, fondateur de Rendition InfoSec, a étudié les documents publiés et estime que Brutal Kangaroo pourrait s’avérer dangereux : celui-ci « utilise plusieurs vecteurs différents pour assurer son exécution, mais il est important de relever que la plupart ne nécessitent aucune intervention de l’utilisateur. Il suffit que ce dernier connecte la clé USB et l’ouvre avec Windows – une action par défaut sur de nombreux systèmes Windows. De là, le logiciel malveillant peut exécuter un code arbitraire chargé sur la clé USB et offrir de vastes possibilités à l’attaquant ».

La ou les vulnérabilités exploitées par Brutal Kangaroo ne sont pas précisées. Mais Wikileaks assure qu’une version antérieure de l’outil profitait d’une vulnérabilité corrigée par Microsoft en mars 2015.

La chronologie de cette annonce a aussi conduit à des spéculations autour d’une vulnérabilité corrigée par l’éditeur ce mois-ci. Williams estime peu probable que Brutal Kanagaroo l’ait exploitée. Toutefois, selon lui, des attaquants pourraient être tentés de s’appuyer pour cela sur le correctif : « maintenant que Microsoft a distribué un correctif pour cette nouvelle vulnérabilité LNK, des attaquants pourraient sans doute en effectuer une rétro-ingénierie ». Et exploiter la faille sur les systèmes vulnérables. Lesquels pourraient être nombreux.

Williams souligne ainsi que les machines isolées « ne peuvent pas télécharger automatiquement les correctifs et doivent être mises à jour manuellement par les administrateurs ».

A l’automne 2015, Lexsi – depuis racheté par Orange – pointait du doigt l’illusion d’isolation physique des environnements industriels, par air-gap et ses travers : l’absence d’antivirus actif et à jour, sur les postes de travail et les serveurs « qui a engendré, pour 50 % des cas, la présence du ver Conficker sur des postes de supervision industrielle ».

En outre, des recherches ont montré que beaucoup ramassent et connectent à leur ordinateur des clés USB trouvées n’importe où. Ce fut d’ailleurs le principal enseignement d’une étude conduite par Elie Bursztein, chercheur chez Google, sur le campus de l’université de l’Illinois, l’an passé. Il y avait abandonné près de 300 clés USB. Près de la moitié d’entre elles a été connecté à un ordinateur. Dans une large majorité des cas, il s’agissait simplement, pour la personne ayant trouvé la clé, de chercher des informations nécessaires à sa restitution.