Мы уже писали, что ЦРУ, по информации WikiLeaks, заражала ряд маршрутизаторов, отслеживая инофрмацию, которая шла через них. А теперь опубликованы документы проекта ЦРУ под названием Brutal Kangaroo. Это программные инструменты для ОС Windows, которые заражают физические изолированные ПК, которые отключены от глобальной сети. Для заражения используются флешки.

Отметим, что физическая изоляция (air gap) — одна из мер обеспечения безопасности, когда защищённая компьютерная сеть физически изолируется от небезопасных сетей и интернета. В этом случае для компьютера снаружи сети нет никакой возможности установить связь с компьютером внутри неё. Для разведывательных организаций такие системы представляют определённую проблему. Во-первых, усложняется процесс установки шпионского программного обеспечения на такие компьютеры: нужно пронести флешку и подключить её. Во-вторых, усложняется получение информации с заражённого компьютера.

Как следует из документации, проект Brutal Kangaroo состоит из следующих компонентов:

  • Drifting Deadline: инструмент заражения флешки.
  • Shattered Assurance: серверный инструмент, который отслеживает процесс автоматизированного заражения флешек, также основной способ распространения набора Brutal Kangaroo. Для заражения отдельных флешек используется программа Drifting Deadline.
  • Broken Promise: постпроцессор Brutal Kangaroo.
  • Shadow: основной механизм присутствия. Это инструмент стадии 2, который распространяется внутри закрытой сети и работает как скрытая CnC-сеть.

Для работы Brutal Kangaroo на компьютере должен быть установлен .Net 4.5.

В программе можно выбрать какие файлы копировать на флешку, задать маску файлов, минимальный объём свободного мета на флешке и так далее.