Les Shadow Brokers continuent d’exploiter le filon de la NSA et publient UNITEDRAKE

Unitedrake

Vous cherchez des bonnes nouvelles sur la sécurité des données, suite à la fuite de données dévastatrice d’Equifax ? Vous ne les trouverez pas dans ce billet, mais si vous voulez vraiment vous mettre quelque chose sous la dent, cette proposition de loi fédérale sur la notification des fuites de données peut faire l’affaire. Vous vous souvenez peut-être des Shadow Brokers, le groupe à l’origine du piratage des serveurs de la NSA et à qui l’on doit la publication d’une vulnérabilité dans Windows qui a rendu le ransomware WannaCry si destructeur.

Ces mêmes Shadow Brokers annoncent un nouveau produit qui semble lui aussi basé sur le spyware de la NSA identifié pour la première fois dans les documents de Snowden. Bruce Schneier a plus d’informations sur ses origines.

(En 2014, l’occasion d’une conférence sur la cryptographie, à laquelle Cindy et moi avons assisté, Schneier a prédit que les techniques utilisées avec la NSA seraient un jour à la portée du premier hacker venu. Hélas, force est de constater qu’il avait une fois de plus raison.)

Nommé United Rake, ou UNITEDRAKE comme l’écrivent les hackers, le produit est en fait un cheval de Troie perfectionné qui autorise un accès à distance et qui est combiné à des « implants » (désignation des modules distants par la NSA). En comparaison, les chevaux de Troie simples que j’ai étudiés dans ma série sur les tests d’intrusion ressemblent à la version numérique des outils de l’âge de pierre.

Le manuel UNITEDRAKE

Comment savoir comment fonctionne UNITEDRAKE ?

Les Shadow Brokers ont gentiment publié un manuel de l’utilisateur. Je conseille vivement aux informaticiens dont les connaissances sur les programmes malveillants se limitent aux titres lus dans les magazines techniques de consulter ce document.

Si l’on oublie le fait que c’est Société diabolique Inc. qui a créé la menace, le manuel de 67 pages semble à première vue décrire un outil informatique parfaitement légal : il comprend des sections sur la configuration logicielle requise, l’installation, le déploiement et l’utilisation (contenant de nombreuses captures d’écran).

Modules Unitedrake

Gestion des implants ou modules distants depuis l’interface UNITEDRAKE.

 

Selon moi, de nombreuses documentations de logiciels professionnels souffrent de la comparaison avec ce manuel utilisateur détaillé. C’est le produit prêt à la commercialisation dont nous entendons souvent parler, et nous pouvons maintenant tous voir comment il fonctionne. UNITEDRAKE sera probablement vendu sur le dark web, et le manuel est le teaser utilisé pour appâter les hackers.

Je n’ai pas vu les explications de toutes les fonctionnalités figurant dans les captures d’écran, mais le manuel contient suffisamment d’informations pour convaincre l’acheteur potentiel qu’UNITEDRAKE est une véritable affaire et constitue un bon investissement.

Mais cela reste un cheval de Troie

À la lecture du manuel UNITEDRAKE, on s’aperçoit qu’il s’agit essentiellement d’un cheval de Troie à accès distant doté d’une architecture moderne classique : la partie côté client dotée des implants se trouve sur l’ordinateur de la victime, et communique avec le serveur du hacker, à l’autre bout de la connexion.

Le port 80 semble être le canal de communication utilisé. Cela signifie que c’est le protocole HTTP qui est exploité, même si le TCP brut est aussi mentionné.

Client Unitedrake

Dans les chevaux de Troie à accès distant, le côté client est l’ordinateur de la victime.

En examinant quelques sites spécialisés, j’ai appris que les implants de la NSA tels que Salvage Rabbit peuvent copier les données d’un disque flash, que Gumfish peut prendre des photos à partir d’un appareil photo intégré et que Captivated Audience peut, on s’en serait douté, espionner les utilisateurs par le biais du microphone d’un ordinateur portable. Vous en saurez plus sur ces outils d’espionnage dans cet article Intercept.

Au moins, on ne peut pas dire que les gars de la NSA n’ont pas d’imagination pour nommer leurs produits.

Le diagnostic

Bien évidemment, la NSA était mieux placée que les hackers classiques pour installer ces implants. On ne sait pas très bien combien d’outils de la NSA les Shadow Brokers ont pu mettre en œuvre.

En tous cas, en matière de phishing et d’autres techniques de piratage (injection SQL, et identification de vulnérabilités connues mais non corrigées), les hackers ont montré ces dernières années qu’ils étaient tout à fait capables d’arriver à leurs fins sans être détectés.

Schneier indique aussi que Kapersky a aperçu certains de ces implants dans la nature.

Ma conclusion : nous devrions plus qu’un peu nous inquiéter de UNITEDRAKE, et des autres programmes malveillants prêts à la commercialisation qui pourraient facilement tomber entre les mains de tout hacker possédant un peu de cash.

Nous n’avons jamais cru que le périmètre était infranchissable ! Apprenez comment Varonis peut repérer les hackers une fois qu’ils ont réussi à s’infiltrer.

Andy blogs about data privacy and security regulations. He also closely follows new malware threats and what it means for IT security.