据外媒 6 月 22 日报道，维基解密（ Wikileaks ）近期再度曝光一批新 Vault7 文档，旨在揭示美国中央情报局（ CIA ）使用勒索软件工具 “野蛮袋鼠” （Brutal Kangaroo ）监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。

Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件，其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外，Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间，并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。

据悉，维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示，旧版本的 Brutal Kangaroo 代号为 EZCheese。目前，它正利用 2015 年 3 月发现的漏洞展开攻击活动。

分析显示，CIA 可利用该工具组件渗透组织或企业内部的封闭网络，即无需直接访问，就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时，闪存盘本身会感染一种单独的恶意软件 Drifting Deadline，并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据，用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后，通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备，终将会感染该恶意软件。

此外，当恶意软件在封闭网络中传播时，多台受感染计算机将处于 CIA 的操控下，组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节，但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。

Brutal Kangaroo 工具组件由以下几部分组成：

Drifting Deadline：用于感染闪存盘的恶意工具
Shattered Assurance：一款处理闪存盘自动感染的服务器工具
Broken Promise：Brutal Kangaroo 后置处理器，用于分析收集到的信息
Shadow：主要存留机制（第二阶段工具，分布在封闭网络中，充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息）

来源：hackernews