De nouveaux documents WikiLeaks montrent comment la CIA pirate les iPhones et MacBooksWikileaks publie des documents de la CIA « Vault 7 » détaillant ses techniques de piratage et de surveillanceWikiLeaks publie des documents sur les outils de piratage de la CIAWikiLeaks a largué mardi l’une de ses bombes verbales les plus explosives : un trésor secret de documents apparemment volés à la Central Intelligence Agency (CIA) américaine détaillant les méthodes de piratage de tout, des téléphones intelligents et des téléviseurs aux routeurs Internet et ordinateurs compromettants. KrebsOnSecurity digère encore une grande partie de ce cache de données fascinant, mais voici quelques premières impressions basées sur ce que j’ai vu jusqu’à présent.Tout d’abord, pour récapituler rapidement ce qui s’est passé : dans un article sur son site, WikiLeaks a déclaré que la publication-surnommée « Vault 7 » – était la plus grande publication jamais réalisée de documents confidentiels sur l’agence. WikiLeaks promet une série de ces caches de documents ; ce premier comprend plus de 8 700 fichiers prétendument extraits d’un réseau de haute sécurité à l’intérieur du Center for Cyber Intelligence de la CIA à Langley, en Virginie.« Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de piratage, y compris les logiciels malveillants, les virus, les chevaux de Troie, les exploits ‘zero day’, les systèmes de contrôle à distance des logiciels malveillants et la documentation associée », a écrit WikiLeaks. « Cette collection extraordinaire, qui s’élève à plus de plusieurs centaines de millions de lignes de code, donne à son possesseur toute la capacité de piratage de la CIA. L’archive semble avoir été diffusée parmi d’anciens pirates informatiques et sous-traitants du gouvernement américain de manière non autorisée, dont l’un a fourni à WikiLeaks des parties de l’archive.Wikileaks a déclaré qu’il attirait l’attention sur le programme mondial de piratage secret de la CIA, son arsenal de logiciels malveillants et des dizaines d’exploits armés contre « un large éventail de produits d’entreprises américaines et européennes, y compris l’iPhone d’Apple, Android de Google et Windows de Microsoft et même les téléviseurs Samsung ». , qui sont transformés en microphones cachés.Les documents, pour la plupart, ne semblent pas inclure le code informatique nécessaire pour exploiter des failles jusque-là inconnues dans ces produits, bien que WikiLeaks indique que ces exploits pourraient apparaître dans un futur vidage. Cette collection est probablement mieux considérée comme un wiki d’entreprise interne utilisé par plusieurs chercheurs de la CIA qui ont méthodiquement trouvé et documenté les faiblesses de divers appareils électroniques commerciaux et grand public populaires.
Par exemple, le vidage de données répertorie un certain nombre de « modules » d’exploitation disponibles pour compromettre divers modèles de routeurs grand public fabriqués par des sociétés telles que Linksys , Microtik et Zyxel , pour n’en nommer que quelques-uns. Les chercheurs de la CIA ont également rassemblé plusieurs pages pour sonder et tester les faiblesses des appareils de classe entreprise de Cisco , dont les puissants routeurs transportent une partie décente du trafic Internet chaque jour. Craig Dods , chercheur chez le rival de Cisco, Juniper , approfondit les bogues de Cisco pour toute personne intéressée (Dods dit qu’il n’a pas encore trouvé d’exploits pour les produits Juniper dans le cache). Pendant ce temps, Cisco a publié son propre article de blog sur le sujet.
PENDANT QUE MA SMART TV PLEURE DOUCEMENTCertains des exploits discutés dans ces documents divulgués de la CIA semblent faire référence à des vulnérabilités d’accès à distance complètes. Cependant, un grand nombre des documents que j’ai consultés semblent faire référence à des concepts d’attaque ou à des exploits à moitié terminés qui peuvent être limités par des exigences très spécifiques, telles que l’accès physique à l’appareil ciblé.
La page du projet « Weeping Angel » de 2014 en est un excellent exemple : elle traite des moyens de transformer certains modèles de « téléviseurs intelligents » Samsung de 2013 en appareils d’écoute à distance ; méthodes pour désactiver les lumières LED qui indiquent que le téléviseur est allumé ; et des suggestions pour résoudre un problème avec l’exploit dans lequel l’interface WiFi du téléviseur est désactivée lorsque l’exploit est exécuté.Selon la documentation, Weeping Angel a fonctionné tant que la cible n’avait pas mis à jour le firmware des téléviseurs Samsung. Il a également déclaré que la mise à niveau du micrologiciel éliminait la « méthode d’installation actuelle », qui nécessitait apparemment l’insertion d’un périphérique USB piégé dans le téléviseur.
Ne vous méprenez pas : il s’agit d’une grave fuite d’informations assez sensibles. Et j’espère sincèrement que Wikileaks décidera de travailler avec des chercheurs et des fournisseurs pour coordonner la correction des failles exploitées par l’archive de code d’exploitation encore inédite qui accompagne apparemment cette documentation de la CIA.Mais en lisant la couverture médiatique de cette fuite, on pourrait être amené à croire que même si vous faites partie de la petite minorité d’Américains qui ont choisi de migrer davantage leurs communications vers des technologies renforçant la confidentialité comme Signal ou WhatsApp, tout cela est futile car la CIA peut le casser de toute façon.Peut-être qu’une future cache de documents de cette division de la CIA changera les choses sur ce front, mais un examen certes superficiel de ces documents indique que les méthodes de la CIA pour affaiblir la confidentialité de ces outils semblent toutes exiger que les attaquants réussissent d’abord à subvertir profondément la sécurité. de l’appareil mobile – soit via une vulnérabilité d’accès à distance dans le système d’exploitation sous-jacent, soit via un accès physique au téléphone de la cible.
Comme le note Leonid Bershidsky , rédacteur technique de Bloomberg , la documentation publiée ici montre que ces attaques ne concernent «pas la surveillance de masse – quelque chose qui devrait déranger la grande majorité des internautes – mais la surveillance de cibles spécifiques».À titre d’exemple, Bershidsky cite un tweet hier d’ Open Whisper Systems (les créateurs de l’application de messagerie privée Signal) qui observe que « l’histoire de la CIA/Wikileaks aujourd’hui concerne l’introduction de logiciels malveillants sur les téléphones, aucun des exploits n’est dans Signal ou casser le cryptage du protocole de signal.
La société a poursuivi en disant que, parce que de plus en plus de services en ligne utilisent désormais un cryptage de bout en bout pour empêcher les regards indiscrets de lire les communications interceptées en transit, les agences de renseignement sont poussées « de la surveillance de masse indétectable à la surveillance coûteuse et à haut risque ». , des attaques ciblées.Aussi limités que certains de ces exploits semblent être, l’approche méthodique des innombrables chercheurs de la CIA qui ont apparemment collaboré pour découvrir ces failles est impressionnante et témoigne d’un problème clé avec la plupart des matériels et logiciels commerciaux aujourd’hui : la grande majorité des fournisseurs préfèrent dépenser le temps et l’argent pour commercialiser leurs produits que de se lancer dans le processus coûteux, frustrant, long et continu de tester leurs propres produits et de travailler avec un éventail de chercheurs pour trouver ces types de vulnérabilités avant la CIA ou d’autres États-nations- les pirates de niveau peuvent.Bien sûr, toutes les entreprises ne disposent pas d’un budget de centaines de millions de dollars uniquement pour effectuer des recherches de base sur la sécurité. Selon ce rapport de NBC News d’octobre 2016, le Center for Cyber Intelligence de la CIA (la source présumée des documents discutés dans cette histoire) dispose d’un personnel de centaines de personnes et d’un budget de plusieurs centaines de millions : les documents divulgués par le dénonciateur de la NSA Edward Snowden indiquent la CIA a demandé 685,4 millions de dollars pour les opérations de réseau informatique en 2013, contre 1 milliard de dollars par la National Security Agency (NSA) des États-Unis.
LE TOURNAGE EST-IL FAIR-PLAY ?NBC a également rapporté que le Center for Cyber Intelligence de la CIA avait été chargé par l’administration Obama l’année dernière de concevoir des stratégies de cyberattaque en réponse à l’implication présumée de la Russie dans le siphonnage des e-mails des serveurs du Comité national démocrate ainsi que du chef de campagne d’ Hillary Clinton , John Podestat . Ces e-mails ont finalement été publiés en ligne par Wikileaks l’été dernier.
NBC a rapporté que « la vaste opération cybernétique « clandestine » conçue pour harceler et « embarrasser » les dirigeants du Kremlin était dirigée par le Centre de cyberintelligence de la CIA ». Cette attaque aurait-elle pu être la réponse du Kremlin à une action ou des actions du cybercentre de la CIA ? Peut-être que le temps (ou les futures fuites) le dira.En parlant de la NSA, le dépotoir de Wikileaks fait suite à une divulgation similaire de The Shadow Brokers , un groupe de piratage qui a déclaré avoir volé des logiciels malveillants à Equation Group , un acteur hautement qualifié et avancé qui a été étroitement lié à la NSA.Ce qui est intéressant, c’est que ce cache de Wikileaks inclut un long fil de discussion parmi les employés de la CIA qui discutent ouvertement de l’erreur commise par la NSA en permettant aux experts de lier les codeurs de la NSA aux logiciels malveillants produits par le groupe Equation. En tant que personne qui passe beaucoup de temps à démasquer les cybercriminels qui divulguent invariablement leur identité et/ou leur emplacement en raison d’une mauvaise sécurité opérationnelle, j’ai été complètement fasciné par cet échange.PRIMES DE BUG VS STOCKS DE BUG
Beaucoup utilisent ce dernier déluge de WikiLeaks pour rouvrir le débat sur la question de savoir s’il existe une surveillance suffisante des activités de piratage de la CIA. Le New York Times a qualifié la révélation d’hier de WikiLeaks de « dernier coup d’État pour l’organisation anti-secret et de coup dur pour la CIA, qui utilise ses capacités de piratage pour espionner des cibles étrangères ».
Le scandale WikiLeaks revient également sur la question de savoir si le gouvernement américain devrait, au lieu de thésauriser et de stocker des vulnérabilités, être plus ouvert et transparent sur ses conclusions – ou au moins travailler en privé avec des éditeurs de logiciels pour corriger les bogues pour le plus grand bien. Après tout, affirment ces défenseurs, les États-Unis sont peut-être le pays le plus dépendant de la technologie sur Terre : nous avons sûrement le plus à perdre lorsque (pas si) ces exploits sont divulgués ? Ne serait-il pas préférable et moins cher que tous ceux qui produisent des logiciels cherchent à externaliser le durcissement de leurs produits ?Sur ce front, ma boîte de réception a été positivement parsemée mardi d’e-mails d’organisations qui exécutent des programmes de « bug bounty » pour le compte d’entreprises. Ces programmes cherchent à décourager l’approche de « divulgation complète » – par exemple, un chercheur publiant un code d’exploitation pour un bogue jusque-là inconnu et donnant au fournisseur concerné exactement zéro jour pour résoudre le problème avant que le public ne découvre comment l’exploiter (d’où le terme » exploit « zero-day »).
Au contraire, les primes de bogues encouragent les chercheurs en sécurité à travailler en étroite collaboration et discrètement avec les éditeurs de logiciels pour corriger les vulnérabilités de sécurité – parfois en échange d’une récompense monétaire et parfois juste pour la reconnaissance publique.
Casey Ellis , directeur général et fondateur du programme Bug Bounty Bugcrowd , a suggéré que la divulgation de WikiLeaks de la CIA aidera les groupes criminels et autres adversaires, tout en laissant les équipes de sécurité se démener.« Dans ce mélange, il y a les fournisseurs ciblés qui, avant aujourd’hui, n’étaient probablement pas au courant des vulnérabilités spécifiques que ces exploits ciblaient », a déclaré Ellis. « En ce moment, les équipes de sécurité démontent le vidage Wikileaks, effectuent des analyses techniques, évaluent et hiérarchisent les risques pour leurs produits et les personnes qui les utilisent, et demandent aux équipes d’ingénierie de créer des correctifs. Le résultat net à long terme est en fait une bonne chose pour la sécurité Internet – les vulnérabilités qui ont été exploitées par ces outils seront corrigées et le risque pour les consommateurs réduit en conséquence – mais pour l’instant nous entrons dans un autre Shadow Brokers, Stuxnet, Flame, Duqu, etc., une période de 0-day activement exploitable rebondissant dans la nature.
Ellis a déclaré que – de manière ironique, on pourrait dire que Wikileaks, la CIA et les auteurs originaux de l’exploit « se sont combinés pour fournir les mêmes connaissances que le » bon vieux temps « de la divulgation complète – mais avec beaucoup moins de contrôle et un grand beaucoup plus d’effets secondaires que si les vendeurs prenaient eux-mêmes l’initiative.« C’est en partie la raison pour laquelle l’approche de divulgation complète a évolué vers les modèles de divulgation coordonnée et de primes de bogues qui sont devenus monnaie courante aujourd’hui », a déclaré Ellis dans une déclaration écrite. « Des histoires comme celle de Wikileaks aujourd’hui sont de moins en moins surprenantes et dans une certaine mesure commencent à se normaliser. Ce n’est que lorsque la douleur de ne rien faire dépasse la douleur du changement que la majorité des organisations passeront à une stratégie proactive de découverte des vulnérabilités et que les vulnérabilités exploitées par ces boîtes à outils – et le risque que ces vulnérabilités créent pour Internet – deviendront de moins en moins courantes. .”
De nombreux observateurs – y compris un certain nombre d’amis professionnels de la cybersécurité à moi – sont devenus quelque peu insensibles à ces divulgations et soutiennent que c’est exactement le genre de chose que vous pourriez vous attendre à ce qu’une agence comme la CIA fasse jour après jour. Omer Schneider , PDG d’une startup appelée CyberX , semble tomber dans ce camp.« Le principal problème ici n’est pas que la CIA dispose de ses propres outils de piratage ou d’un cache d’exploits zero-day », a déclaré Schneider. « La plupart des États-nations ont des outils de piratage similaires, et ils sont utilisés tout le temps. Ce qui est surprenant, c’est que le grand public est encore choqué par des histoires comme celles-ci. Quels que soient les motifs de cette publication, notre préoccupation est que Vault7 facilite encore plus l’entrée d’un groupe de nouveaux cyber-acteurs dans le jeu. »
Ce ne sera certainement pas la dernière fois que KrebsOnSecurity cite le grand trésor WikiLeaks de la CIA de cette semaine . Mais pour l’instant, je suis intéressé d’entendre ce que vous, chers lecteurs, avez trouvé le plus intrigant à ce sujet ? Sonnez dans les commentaires ci-dessous.
De nouveaux documents WikiLeaks montrent comment la CIA pirate les iPhones et MacBooksPendant des années, la CIA a développé des outils pour pirater les produits Apple – et grâce à WikiLeaks, ces outils sont désormais publics. Aujourd’hui, le groupe a publié un nouvel ensemble de documents intitulé « Dark Matter », qui fait partie de la publication en cours Vault 7 sur les outils de piratage de la CIA . Les documents d’aujourd’hui se concentrent spécifiquement sur les produits Apple, détaillant les méthodes de la CIA pour pénétrer dans les MacBook et les iPhone. La plupart des documents datent de plus de sept ans, ce qui les désynchronise considérablement avec les produits actuels de l’entreprise, mais ils montrent un effort persistant pour trouver et exploiter les faiblesses des produits Apple. Un outil , appelé « Sonic Screwdriver », a été utilisé pour infecter les MacBook via un port USB ou Thunderbolt, vraisemblablement déployé lorsque la CIA a un accès physique à un appareil. D’autres implants s’installent dans l’interface du micrologiciel de l’ordinateur, les rendant indétectables par les techniques médico-légales conventionnelles. L’agence semble avoir eu plus de mal avec les premières versions de l’iPhone. Un seul des outils cible le téléphone, un outil dit « beacon » conçu pour être installé sur un téléphone intercepté avant achat. Compte tenu de l’ancienneté des bogues, il est peu probable qu’aucun d’entre eux soit efficace contre les produits Apple contemporains, bien qu’il soit probable que la CIA ait développé des capacités similaires pour cibler les MacBook d’aujourd’hui. WikiLeaks s’est engagé à divulguer toutes les vulnérabilités de Vault 7 aux entreprises concernées pour qu’elles soient corrigées, mais le groupe a mis du temps à tenir cette promesse, exigeant apparemment une série de conditions avant que les bogues puissent être divulgués.Joint par The Verge , Apple a démenti toute négociation avec Wikileaks, et souligné que les produits contemporains ne sont pas vulnérables aux attaques. La déclaration de la société est reproduite intégralement ci-dessous : Nous avons évalué de manière préliminaire les révélations de Wikileaks de ce matin. Sur la base de notre analyse initiale, la prétendue vulnérabilité de l’iPhone n’affectait que l’iPhone 3G et a été corrigée en 2009 lors de la sortie de l’iPhone 3GS. De plus, notre évaluation préliminaire montre que les prétendues vulnérabilités du Mac ont déjà été corrigées sur tous les Mac lancés après 2013. Nous n’avons négocié aucune information avec Wikileaks. Nous leur avons donné des instructions pour soumettre toutes les informations qu’ils souhaitent via notre processus normal selon nos conditions générales. Jusqu’à présent, nous n’avons reçu aucune information de leur part qui ne soit pas dans le domaine public. Nous sommes des défenseurs infatigables de la sécurité et de la confidentialité de nos utilisateurs, mais nous ne tolérons pas le vol ni ne nous coordonnons avec ceux qui menacent de nuire à nos utilisateurs.
Fuite de données CIA Vault 7 : que savons-nous maintenant ?
Le coffre 7
L’organisation WikiLeaks a obtenu des milliers de fichiers provenant prétendument d’un réseau de la Central Intelligence Agency (CIA) américaine. Dans cet article, je vais essayer de résumer ce qui s’est passé ces dernières semaines et ce qui a été divulgué par l’organisation
-
L’ année zéro qui a révélé les exploits de piratage de la CIA pour le matériel et les logiciels.
-
Le vidage Dark Matter contient des exploits de piratage iPhone et Mac.
-
Le lot Marble s’est concentré sur un cadre utilisé par la CIA pour rendre difficile l’attribution des cyberattaques.
-
Le lot Grasshopper qui révèle un cadre pour personnaliser les logiciels malveillants afin de pénétrer dans Windows de Microsoft et de contourner la protection antivirus.
-
Le projet Scribbles pour le suivi des documents
Le dépotoir YearZero – Le débutLe 7 mars 2017, WikiLeaks a publié le premier lot de fichiers provenant prétendument d’un réseau de haute sécurité de la Central Intelligence Agency (CIA) américaine. L’organisation a annoncé qu’elle avait obtenu des milliers de fichiers qui exposent les capacités de piratage de la CIA et de ses organisations internes, l’énorme trésor de données s’appelait « Vault 7 ». WikiLeaks a surnommé la première partie des précieuses archives « Year Zero », une collection de 8 761 documents et fichiers secrets volés au CIA Center de Langley.
« La première partie complète de la série, « Year Zero », comprend 8 761 documents et fichiers provenant d’un réseau isolé de haute sécurité situé à l’intérieur du Center for Cyber Intelligence de la CIA à Langley, en Virginie. » lit l’annonce publiée par WikiLeaks . L’archive comprend les outils de piratage et le code malveillant utilisés par les services de renseignement américains au cours de ses opérations. Certains des exploits inclus dans le vidage ont été spécifiquement conçus pour cibler les produits populaires de diverses sociétés informatiques, notamment Samsung, Apple, Google et Microsoft. « Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de piratage, y compris les logiciels malveillants, les virus, les chevaux de Troie, les exploits « zéro jours », les systèmes de contrôle à distance des logiciels malveillants et la documentation associée. » Selon WikiLeaks, les précieuses archives semblent avoir été diffusées parmi d’anciens experts et sous-traitants du gouvernement américain de manière non autorisée. L’un d’eux a probablement fourni les fichiers à WikiLeaks. L’arsenal de la CIA comprend des outils de piratage développés par le groupe de développement technique (EDG) de la CCI pour cibler presque toutes les technologies, des appareils mobiles aux ordinateurs de bureau, et bien sûr les appareils IoT tels que les routeurs et les téléviseurs intelligents .
L’archive a confirmé que les services de renseignement américains exploitent des dizaines de codes d’exploitation zero-day dans leur arsenal qui peuvent être utilisés pour cibler presque toutes les plates-formes, des PC Windows et Linux aux appareils mobiles Android et iOS. Le document a révélé l’existence de l’équipe de développement d’EDG chargée de créer et de tester tout code malveillant, y compris les implants, les portes dérobées, les exploits, les chevaux de Troie et les virus. « Les logiciels malveillants et les outils de piratage de la CIA sont créés par EDG (Engineering Development Group), un groupe de développement de logiciels au sein de CCI (Center for Cyber Intelligence), un département appartenant à la DDI (Direction de l’innovation numérique) de la CIA. » poursuit WikiLeaks.
Tout en divulguant les précieuses informations, WikiLeaks a confirmé qu’il ne publierait pas les outils et les exploits « jusqu’à ce qu’un consensus se dégage sur la nature technique et politique du programme de la CIA et sur la manière dont ces « armes » devraient être analysées, désarmées et publiées ». La précieuse documentation confirme l’intense collaboration avec d’autres agences de renseignement internes et étrangères, dont la NSA, le GCHQ et le MI5 britanniques, ainsi que d’autres sous-traitants. L’un des documents appartenant au premier lot rapporte les détails d’un outil de piratage baptisé Weeping Angel, utilisé pour pirater Samsung Smart TV, qui a été développé par la CIA avec des pairs du MI5. « L’attaque contre les téléviseurs intelligents Samsung a été développée en coopération avec le MI5/BTSS du Royaume-Uni. Après l’infestation, Weeping Angel place le téléviseur cible en mode « Fake-Off », de sorte que le propriétaire croit à tort que le téléviseur est éteint lorsqu’il est allumé. En mode ‘Fake-Off’, le téléviseur fonctionne comme un bogue, enregistrant les conversations dans la pièce et les envoyant sur Internet à un serveur secret de la CIA. poursuit WikiLeaks. En creusant le vidage YearZero, les experts ont également découvert que les pirates de la CIA étaient capables de contourner le cryptage mis en œuvre par les applications de messagerie sécurisée les plus populaires telles que Signal , WhatsApp et Telegram .
Vault 7 Épisode 2 – La matière noireLe 23 mars, WikiLeaks a publié le deuxième lot de la décharge Vault 7 de la CIA contenant des documents qui révèlent que l’Agence piratait des systèmes dans le monde entier. Le deuxième lot d’informations surnommé la « matière noire » contient cinq documents liés aux outils et techniques de piratage et aux codes d’exploitation utilisés par la CIA pour pirater les appareils Apple MacBook et iOS.
Les outils et techniques de piratage ont été conçus par l’unité de la CIA, appelée Embedded Development Branch (EDB).
« Aujourd’hui, le 23 mars 2017, WikiLeaks publie Vault 7 ‘Dark Matter’, qui contient de la documentation pour plusieurs projets de la CIA qui infectent le micrologiciel de l’ordinateur Apple Mac (ce qui signifie que l’infection persiste même si le système d’exploitation est réinstallé) développé par Embedded de la CIA. Direction du développement (EDB). Ces documents expliquent les techniques utilisées par la CIA pour gagner en « persistance » sur les appareils Mac d’Apple, y compris les Mac et les iPhone, et démontrent leur utilisation de l’ EFI/UEFI et des logiciels malveillants du micrologiciel . » lit la description de la matière noire fournie par WikiLeaks.
Les experts de la CIA ont trouvé un moyen d’infecter le firmware Apple pour gagner en persistance, de cette façon les attaquants ont pu maintenir l’infection sur les appareils Mac OS et iOS même si le système d’exploitation a été réinstallé. Selon WikiLeaks, l’un des documents les plus intéressants est lié au projet « Sonic Screwdriver », qui est un « mécanisme d’exécution de code sur des périphériques pendant le démarrage d’un ordinateur portable ou de bureau Mac » permettant à un attaquant de démarrer son logiciel d’attaque par exemple. à partir d’une clé USB « même lorsqu’un mot de passe de micrologiciel est activé ». La technique permet à un attaquant local de démarrer son outil de piratage à l’aide d’un périphérique (c’est-à-dire une clé USB, un tournevis) « même lorsqu’un mot de passe de micrologiciel est activé » sur l’appareil. Cela impliquait que le tournevis sonique permettait aux attaquants de modifier la mémoire en lecture seule d’un appareil, les documents ont révélé que des logiciels malveillants sont stockés dans l’adaptateur Apple Thunderbolt-to-Ethernet. En creusant dans la décharge de Dark Matter, nous pouvons trouver l’outil de piratage NightSkies 1.2, qui est décrit comme un « outil de balise/chargeur/implant » pour l’iPhone d’Apple. « Également inclus dans cette version est le manuel de « NightSkies 1.2 » de la CIA, un « outil balise/chargeur/implant » pour l’iPhone d’Apple. Il convient de noter que NightSkies avait atteint 1,2 en 2008 et est expressément conçu pour être physiquement installé sur des iPhones frais d’usine. C’est-à-dire que la CIA infecte la chaîne d’approvisionnement de l’iPhone de ses cibles depuis au moins 2008. » poursuit WikiLeaks. L’outil a été développé par l’expert de la CIA pour infecter les iPhones « frais d’usine » ; il pourrait être utilisé par exemple pour compromettre les appareils mobiles en phase d’expédition. L’existence de l’outil suggère que la Central Intelligence Agency cible la chaîne d’approvisionnement de l’iPhone depuis au moins 2008. »Alors que les actifs de la CIA sont parfois utilisés pour infecter physiquement les systèmes sous la garde d’une cible, il est probable que de nombreuses attaques d’accès physique de la CIA aient infecté la chaîne d’approvisionnement de l’organisation ciblée, notamment en interdisant les commandes par correspondance et autres envois (ouverture, infection et renvoi) laissant aux États-Unis ou ailleurs », explique WikiLeaks. « DarkSeaSkies » est un autre implant détaillé dans les documents inclus dans le référentiel Dark Matter, c’est « un implant qui persiste dans le firmware EFI d’un ordinateur Apple MacBook Air » et se compose de « DarkMatter », « SeaPea » et « NightSkies », respectivement les implants EFI, kernel-space et user-space.
Vault 7 Épisode 3 – le cadre de marbreLe 1er avril, WikiLeaks a publié le troisième lot de l’ archive CIA Vault7 qui met en lumière les outils anti-forensics utilisés par l’agence de renseignement. Ce lot de documents a été surnommé Mable et comprend les fichiers de code source d’une plate-forme anti-légale nommée Marble Framework. Le vidage contient 676 fichiers de code source du Marble Framework qui a été développé par la CIA pour effectuer des activités médico-légales difficiles sur ses codes malveillants. Le code développé par l’expert de la CIA a pu échapper à la détection en mettant en œuvre diverses techniques, par exemple, il peut détecter si le code s’exécute dans le bac à sable de la machine virtuelle. La plate-forme Marbre rend difficile l’attribution des attentats ; les documents montrent comment la CIA peut mener une cyberattaque d’une manière que les experts attribuent à d’autres pays, dont la Russie, la Chine, la Corée du Nord et l’Iran. « Aujourd’hui, le 31 mars 2017, WikiLeaks publie Vault 7 « Marble » – 676 fichiers de code source pour le cadre anti-forensique secret de la CIA en marbre . Marble a l’habitude d’ empêcher les enquêteurs médico-légaux et les sociétés antivirus d’attribuer des virus, des chevaux de Troie et des attaques de piratage à la CIA. lit WikiLeaks . « Marble le fait en cachant (« obscurcissant ») les fragments de texte utilisés dans les logiciels malveillants de la CIA à l’inspection visuelle. C’est l’ équivalent numérique d’un outil spécialisé de la CIA pour couvrir le texte en anglais des systèmes d’armes produits aux États-Unis avant de les donner aux insurgés secrètement soutenus par la CIA.
Le framework Marble comprend des algorithmes pour insérer plusieurs chaînes dans différentes langues dans le code source du logiciel malveillant. De cette manière, les cyber-espions rendent difficile l’attribution et entravent les recherches menées par des experts en criminalistique. En utilisant ce type de techniques, les auteurs de logiciels malveillants tentent de faire croire aux victimes que le logiciel malveillant a été développé par des Vxers américains/anglais.
« Le code source montre que Marble a des exemples de test non seulement en anglais mais aussi en chinois, russe, coréen, arabe et farsi. » poursuit WikiLeaks. « Cela permettrait un double jeu d’attribution médico-légale, par exemple en prétendant que la langue parlée par le créateur du malware n’était pas l’anglais américain, mais le chinois, mais en montrant ensuite des tentatives de dissimulation de l’utilisation du chinois, attirant encore plus fortement les enquêteurs médico-légaux dans l’erreur. conclusion, mais il existe d’autres possibilités, comme cacher de faux messages d’erreur.
La décharge de marbre comprend également un désobscurcisseur pour inverser l’obscurcissement du texte de la CIA, en l’utilisant, les experts peuvent identifier les modèles d’attaques menées par la CIA et attribuer les attaques de piratage et les codes malveillants précédents à l’Agence. Le Marble Framework ne contient aucune vulnérabilité ou exploit, il était utilisé à la CIA en 2016, en 2015 les cyber-espions utilisaient la version 1.0.
Vault 7 Épisode 4 – le framework Grasshopper
Le 7 avril, WikiLeaks a publié un lot de 27 documents détaillant un framework nommé Grasshopper qui aurait été utilisé par la CIA pour créer des programmes d’installation personnalisés pour les logiciels malveillants Windows.
Le framework permet aux opérateurs de créer une charge utile personnalisée, de l’exécuter et d’analyser les résultats de l’exécution.Les documents divulgués composent un guide d’utilisation classé «secret» qui était à la disposition des cyber-espions de la CIA.
« Les documents publiés par WikiLeaks aujourd’hui fournissent des informations sur le processus de création d’outils d’espionnage modernes et sur la manière dont la CIA maintient la persistance sur les ordinateurs Microsoft Windows infectés, fournissant des instructions à ceux qui cherchent à défendre leurs systèmes pour identifier tout compromis existant », a déclaré WikiLeaks.
Figure 3 – Guide de l’utilisateur du framework Grasshopper
Le compte-gouttes décrit dans le manuel de Grasshopper doit être chargé et exécuté uniquement en mémoire ; le cadre permet de créer des logiciels malveillants personnalisés qui peuvent compromettre le système cible en contournant l’antivirus qu’il utilise. Selon la documentation, chaque exécutable généré avec le framework Grasshopper contient un ou plusieurs installateurs. « Un exécutable Grasshopper contient un ou plusieurs programmes d’installation. Un installateur est une pile d’un ou plusieurs composants d’installation », lit le manuel. « Grasshopper invoque chaque composant de la pile en série pour fonctionner sur une charge utile. Le but ultime d’un programme d’installation est de conserver une charge utile. »Le cadre offre aux opérateurs divers mécanismes de persistance qui peuvent définir une série de règles qui doivent être respectées avant le lancement d’une installation. Les règles permettent aux attaquants de cibler des systèmes spécifiques en spécifiant leurs détails techniques (c’est-à-dire l’architecture x64 ou x32, le système d’exploitation). « Un exécutable peut avoir une règle globale qui sera évaluée avant l’exécution de tout programme d’installation. Si une règle globale est fournie et est évaluée comme fausse, l’exécutable abandonne l’opération », poursuit le manuel. L’un des mécanismes de persistance signalés dans le guide de l’utilisateur s’appelle Stolen Goods . La CIA a exploité les mécanismes mis en œuvre par les codes malveillants utilisés par les cybercriminels dans la nature. Par exemple, la CIA a modifié certains composants du populaire rootkit Carberp.
« La méthode de persistance et des parties du programme d’installation ont été prises et modifiées pour répondre à nos besoins », lit-on dans un document divulgué. « Une grande majorité du code Carberp original qui a été utilisé a été fortement modifié. Très peu de morceaux du code original existent sans modification. Un autre mécanisme de persistance exploite le service Windows Update pour permettre l’exécution de la charge utile à chaque démarrage du système ou toutes les 22 heures ; cette technique utilise une série de DLL spécifiées dans le registre.
Vault 7 Épisode 5 – Le projet Scribbles pour le suivi des documentsWikiLeaks a divulgué les détails d’un projet de la CIA nommé Scribbles (alias le « Snowden Stopper »). The Scribbles est un logiciel qui aurait été développé pour intégrer des balises « balises Web » dans des documents confidentiels visant à suivre les dénonciateurs et les espions étrangers. Ce type de logiciel permet à l’Agence de surveiller l’accès au document sensible et secret et de suivre les personnes qui y accèdent. WikiLeaks a divulgué la documentation Scribbles qui comprend également le code source de la dernière version publiée du logiciel (v1.0 RC1) datée du 1er mars 2016. Cette date suggère que Scribbles a été utilisé jusqu’à au moins l’année dernière par la CIA. Scribbles est « un système de prétraitement de filigrane de documents pour intégrer des balises de type « balise Web » dans des documents susceptibles d’être copiés par des initiés, des lanceurs d’alerte, des journalistes ou autres ». Le logiciel Scribbles a été écrit en langage de programmation C # et génère un filigrane aléatoire différent pour chaque document.
« (S//OC/NF) Scribbles ( SCRIB ) est un outil de filigrane de documents qui peut être utilisé pour traiter par lots un certain nombre de documents dans un répertoire d’entrée prédéfini. Il génère un filigrane aléatoire pour chaque document, insère ce filigrane dans le document, enregistre tous ces documents traités dans un répertoire de sortie et crée un fichier journal qui identifie les filigranes insérés dans chaque document. lit le guide de l’utilisateur de Scribbles .
Figure 4- Documentation des gribouillisChaque fois qu’un utilisateur accède à un document en filigrane, il charge un fichier intégré en arrière-plan et crée une entrée sur le serveur de suivi de la CIA. L’agence de renseignement collecte plusieurs informations sur l’accès, y compris l’utilisateur qui a copié le fichier, l’horodatage et l’adresse IP de l’utilisateur. De cette façon, il est possible de suivre les accès aux documents et les éventuels abus.
Le guide de l’utilisateur divulgué par la CIA a révélé que le logiciel de suivi Scribbles ne fonctionne qu’avec Microsoft Office. Selon le manuel de l’utilisateur, l’outil a été développé pour le prétraitement hors ligne des documents Microsoft Office ; il ne pouvait pas être utilisé avec d’autres applications. Si les documents en filigrane sont ouverts dans un autre logiciel comme OpenOffice ou LibreOffice, ils peuvent révéler des filigranes et des URL à l’utilisateur.
Selon les documents divulgués, « l’outil de filigrane de documents Scribbles a été testé avec succès sur… Microsoft Office 2013 (sur Windows 8.1 x64), les documents des versions Office 97-2016 (les documents Office 95 ne fonctionneront pas !) [et]… les documents qui ne sont pas des formulaires verrouillés, cryptés ou protégés par un mot de passe. Une autre limitation du logiciel est que les filigranes sont chargés à partir d’un serveur distant, de sorte que l’outil ne devrait fonctionner que lorsque l’utilisateur accédant aux documents marqués est connecté à Internet.
Vault 7 Episode 6 l’outil de piratage Archimedes MitM
Le 5 mai , WikiLeaks a publié un lot de documents détaillant un outil d’attaque de type « man-in-the-middle » (MitM) appelé Archimède , prétendument utilisé par la CIA pour cibler les réseaux locaux. Les documents divulgués, datés entre 2011 et 2014, fournissent des détails sur un outil initialement nommé Fulcrum et renommé plus tard Archimedes par l’équipe de développement.
Figure 5 – Guide d’utilisation de l’outil ArchimèdeL’outil de piratage de la CIA qui permet aux opérateurs de rediriger le trafic LAN d’un ordinateur ciblé vers une machine contrôlée par les attaquants avant qu’il ne soit acheminé vers la passerelle. « Archimède est une mise à jour de Fulcrum 0.6.1. » lit la documentation de l’outil Archimède . « Archimedes est utilisé pour rediriger le trafic LAN de l’ordinateur d’une cible vers un ordinateur contrôlé par l’attaquant avant qu’il ne soit transmis à la passerelle. Cela permet à l’outil d’injecter une réponse de serveur Web falsifiée qui redirigera le navigateur Web de la cible vers un emplacement arbitraire. Cette technique est généralement utilisée pour rediriger la cible vers un serveur d’exploitation tout en offrant l’apparence d’une session de navigation normale. Pour plus d’informations sur les outils, veuillez vous reporter à la documentation Fulcrum 0.6.1 d’origine.
Selon l’instructeur SANS Jake Williams qui a analysé les documents divulgués, l’outil Archimedes semble être une version reconditionnée de l’outil MITM populaire Ettercap . Les cibles présumées de la CIA pourraient utiliser les informations divulguées sur l’outil Archimède pour vérifier si les services de renseignement américains avaient compromis leurs systèmes. Les victimes potentielles peuvent rechercher ces hachages sur leurs systèmes.
Figure 6- Hachages d’Archimède
Archimède a introduit plusieurs améliorations respectant l’outil Fulcrum telles que :
- Prise en charge de la désactivation de la vérification de l’itinéraire qui se produit avant l’exploitation.
- Ajout de la prise en charge d’une nouvelle méthode d’injection HTTP basée sur l’utilisation d’un IFRAME caché.
- Modifiez les DLL pour prendre en charge la spécification Fire and Forget (version 2).
- Fournissez une méthode d’arrêt progressif de l’outil à la demande.
- Supprime les chaînes les plus alertantes des fichiers binaires de la version.
L’outil lui-même n’est pas sophistiqué ; il pourrait être intéressant de comprendre comment les agents de la CIA l’ont utilisé dans des attaques ciblées.
https://resources.infosecinstitute.com/topic/cia-vault-7-data-leak-know-since-now/
https://krebsonsecurity.com/2017/03/wikileaks-dumps-docs-on-cias-hacking-tools/comment-page-2/
https://www.theverge.com/2017/3/23/15035988/wikileaks-cia-hacking-macbook-iphone-vault-7