Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publiée
Avec les descriptifs associés

Le , par Stéphane le calme

44PARTAGES

6  0 
Près de deux semaines se sont écoulées depuis que le groupe de pirates se faisant appeler « The Shadow Brokers » a publié des échantillons d’exploits en ligne qu’ils ont prétendu avoir dérobés à « The Equation Group », un groupe disposant d’un arsenal de surveillance numérique tellement impressionnant et sophistiqué qu’il lui a valu le surnom de « dieu » de l’espionnage par Kaspersky. Plusieurs experts ont rattaché ce groupe à la NSA et, sur la base de documents de l’ancien contractuel de la NSA qui n’avaient pas encore été révélés au public, le quotidien Intercept a noté la signature numérique de la NSA, fournissant ainsi un élément de preuve qui va dans la direction des suppositions des experts.

Si des réserves avaient été émises de prime abord quant à la légitimité des exploits, l’équipementier Cisco, suivi par Fortinet ont confirmé dans déclarations que leurs infrastructures étaient vulnérables et que des mesures ont été prises pour endiguer les failles. De son côté, Kaspersky a lui aussi analysé le code qu’il a comparé avec les échantillons de code dans ses archives et a trouvé de nombreuses similitudes entre autres dans les modèles de codage qui lui ont fait déclarer « avec un grand degré de certitude » que les exploits publiés par The Shadow Brokers proviennent effectivement de The Equation Group. « Dans le logiciel malveillant de The Equation Group, la bibliothèque de chiffrement se sert d’une opération de soustraction avec la constante 0x61C88647. Dans la majorité du code RC5 /6 disponible publiquement, cette constante est généralement enregistrée comme étant 0x9E3779B9, qui est basiquement -0x61C88647. Étant donné que l’addition est plus rapide sur certains dispositifs matériels que la soustraction, il est logique de garder la constante dans sa forme négative et de l’ajouter au lieu de soustraire ».


Shadow Brokers a indiqué avoir publié 60 % des fichiers en leur possession puis a décidé de lancer une vente aux enchères afin de vendre les 40 % restant. La plupart des liens URL menant aux détails publiés par Shadow Brokers (sur GitHub, Tumblr ou alors PasteBin) ont été supprimés. Il n'y a aucun nouvel élément ici, toutefois, voici un récapitulatif des différents exploits et outils qui ont pu être trouvés avec les descriptifs associés.

Ici, un outil va désigner un logiciel qui peut déployer de multiples implants ainsi que des exploits. Un implant va représenter un logiciel malveillant qui est installé sur un dispositif compromis. Un exploit pour sa part va représenter une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil.

Nom Type Description
1212/DEHEX Outil Outil pour convertir les chaînes de caractères hex en adresses IP et ports
BANANABALLOT Implant Implant BIOS
BANANAGLEE Implant Implant pare-feu qui ne persiste pas après des réinitialisations. Il fonctionne sur les dispositifs Cisco ASA et PIX
BANANALIAR Outil Se connecte à un implant (qui n'est pas encore déterminé pour le moment)
BANNANADAIQUIRI Implant Est associé à SCREAMINGPILLOW
BARGLEE Implant S'attaque aux pare-feu Juniper NetScreen 5.x
BARICE Outil Shell pour déployer BARGLEE
BARPUNCH Implant Module BANANAGLEE et BARGLEE
BBALL Implant Module BANANAGLEE
BBALLOT Implant Module BANANAGLEE
BBANJO Implant Module BANANAGLEE
BCANDY Implant Module BANANAGLEE
BEECHPONY Implant Implant pare-feu (prédécesseur BANANAGLEE)
BENIGNCERTAIN Outil Outil pour extraire les clés VPN des pare-feu Cisco PIX
BFLEA Implant Module BANANAGLEE
BILLOCEAN Outil Extrait des nombres sérialisés des pare-feu Fortinet Fortigate
BLATSTING Implant Implant pare-feu pour déployer EGREGIOUSBLUNDER et ELIGIBLEBACHELOR
BMASSACRE Implant Module BANANAGLEE et BARGLEE
BNSLOG Implant Module BANANAGLEE et BARGLEE
BOOKISHMUTE Exploit Exploit contre un pare-feu indéterminé
BPATROL Implant Module BANANAGLEE
BPICKER Implant Module BANANAGLEE
BPIE Implant Module BANANAGLEE et BARGLEE
BUSURPER Implant Module BANANAGLEE
BUZZDIRECTION Implant Implant pare-feu Fortinet Fortigate
CLUCKLINE Implant Module BANANAGLEE
CONTAINMENTGRID Exploit Charge utile préparée qui peut être déposée via l'exploit ELIGIBLEBOMBSHELL. Les pare-feu TOPSEC tournant sur running TOS 3.3.005.066.1 sont vulnérables
DURABLENAPKIN Outil Outil pour injection de paquets sur des connexions LAN
EGREGIOUSBLUNDER Exploit RCE pour des pare-feu Fortinet FortiGate qui affecte les versions 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600 et 3600A
ELIGIBLEBACHELOR Exploit Exploit sur les pare-feu TOPSEC tournant sur les versions 3.2.100.010, 3.3.001.050, 3.3.002.021 et 3.3.002.030 du système d'exploitation TOS
ELIGIBLEBOMBSHELL Exploit RCE pour les pare-feu TOPSEC affectant les versions allant de 3.2.100.010.1_pbc_17_iv_3 à 3.3.005.066.1
ELIGIBLECANDIDATE Exploit RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1
ELIGIBLECONTESTANT Exploit RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 et qui ne peut être exécuté qu'après ELIGIBLECANDIDATE
EPICBANANA Exploit Élévation de privilèges sur Cisco ASA (versions 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832) et Cisco PIX (versions 711, 712, 721, 722, 723, 724, 804)
ESCALATEPLOWMAN Exploit Élévation de privilèges sur les produits WatchGuard. L'entreprise a assuré qu'il ne fonctionne pas sur ses nouveaux produits
EXTRABACON Exploit RCE sur Cisco ASA versions 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844 (CVE-2016-6366)
FALSEMOREL Exploit Exploit Cisco qui extrait les mots de passe activés si Telnet est activé sur le dispositif
FEEDTROUGH Implant Implant persistant sur les pare-feu Juniper NetScreen pour déployer BANANAGLEE et ZESTYLEAK
FLOCKFORWARD Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL. Elle affecte les pare-feu TOPSEC tournant sur TOS 3.3.005.066.1
FOSHO Outil Bibliothèque Python pour modifier les requêtes HTTP utilisées dans les exploits
GOTHAMKNIGHT Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.100.010.8_pbc_27
HIDDENTEMPLE Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.8840.1
JETPLOW Implant Implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif
JIFFYRAUL Implant Module BANANAGLEE pour Cisco PIX
NOPEN Outil Outil de post-exploitation shell
PANDAROCK Outil Outil pour connecter les implants POLARPAWS
POLARPAWS Implant Implant pare-feu pour des constructeurs non déterminés
POLARSNEEZE Implant Implant pare-feu pour des constructeurs non déterminés
SCREAMINGPLOW Implant Implant Cisco ASA et PIX utilisé pour inséré BANANAGLEE dans le dispositif
SECONDDATE Outil Outil d'injection de paquets sur les connexions Wi-Fi et LAN. Utilisé avec BANANAGLEE et BARGLEE
TEFLONDOOR Outil Shell de post-exploitation disposant d'une fonction d'autodestruction
TURBOPANDA Outil Outil pour connecter les implants HALLUXWATER
WOBBLYLLAMA Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL qui affecte les pare-feu TOPSEC tournant sur TOS 3.3.002.030.8_003
XTRACTPLEASING Outil Convertit les données en fichiers PCAP
ZESTYLEAK Implant Implant pare-feu Juniper NetScreen

Source : blog Kaspersky, Risk Based Security, Mustafa Al-Bassam, Matt Suiche

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 26/09/2016 à 14:32
Ou comment fabriquer un ennemi pour justifier son salaire.
6  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 26/09/2016 à 16:06
Ils espionnent le monde entier, ils laissent des codes sur des serveurs, la Clinton n'utlise pas des serveurs dédiés sécurisés mais c'est toujours la faute des hackers et plus précisement des hackers russes.

Ca va mal finir tout ça, mais ce n'est JAMAIS la faute des américains (le sauveur du monde auto proclamé).

Ne manquez pas ce soir la confrontation entre Trump & Hillary
4  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 26/09/2016 à 16:55
Excusez nous d avoir laisse trainer une tete nucleaire. Mais on ne vous dit rien pour savoir qui va l utiliser pour savoir qui l a recuperee.
4  0 
Avatar de yento
Membre émérite https://www.developpez.com
Le 27/08/2016 à 14:17
Citation Envoyé par LSMetag Voir le message
A moins que les failles vendues ne soien'y déjà résolues ^^
La résolution a peu d'importance, spécialement quand ça touche a du matériel type cisco/pix.

Les vieux matériels sont end-of-life, ne sont plus en vente ni supportés depuis un moment et ne seront pas corrigés. Les nouveaux encore supportés auront un patch, mais encore faut il qu'un sysadmin aille ressortir le matériel poussiéreux du placard et applique le patch.

Si on oublie Google et la NSA un instant. La majorité des TPE-PME gardent leur matériel tel quel et seront vulnérables pendant les 10 prochaines années en moyenne.
2  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 23/08/2016 à 22:44
Une société de sécurité hongroise vient de modifier le code pour vérifier si la faille pouvait être utilisée sur des versions plus récentes : affirmatif sur toute la gammesnon des pare-feu CISCO.
Source Ars
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 18/04/2017 à 9:50
L'information en elle même ne réside pas dans les failles que MS annonce patchées pour l'essentiel mais bien que le secret bancaire a été violé. Surtout celui des banques centrales du monde entier donnant des informations primordiales aux US sur le cours des changes et les politiques monétaires. Je ne suis pas spécialiste financier, loin de là, par contre je pense que ces données valaient bien plus que leur pesant d'or sur le terrain de la guerre économique et financière comme celle que se livre américains et chinois.
1  0 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 23/08/2016 à 19:15
Citation Envoyé par Beanux Voir le message
C'est ton payload (charge utile), la taille du message que tu envoies. C'est utilisé dans .... de très très très nombreux protocoles, par exemple IP, TCP, http, etc
Le réseau ça a toujours été mon point faible, donc pas étonnant.

Pour en revenir au sujet, j'imagine que la NSA va aller récupérer les 40% de documents restant via les enchères.

C'est pas très malin si on veut lutter contre Big Brother. Mais bon, c'est très lucratif.

A moins que les failles vendues ne soien'y déjà résolues ^^
0  0 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 27/08/2016 à 22:31
Quand on sait comme recrute la NSA recrute les 'black hats", cela me surprendrait pas que le problème soit interne.
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 30/08/2016 à 22:07
Que pensez-vous de la théorie d’un autre Snowden ?
Cela reste tout à fait plausible et déjà évoqué lors d'autres révélations d'informations. Dans ce cas là, je dirai qu'il n'y en a sans doute pas un seul gars, mais 2 ou 3 ou plus.
Et vu la quantité d'outils utilisés par la NSA, ce ne sera alors sans doute pas la dernière de nos surprises.
En poussant le raisonnement dans cette voie, on pourrait réaliser que rien n'est réellement à l'abri des regards avec toutes les conséquences que cela implique.
0  0 
Avatar de ALT
Membre chevronné https://www.developpez.com
Le 29/09/2016 à 9:52
Euh...
Reuters est un quotidien, maintenant ?
Il y a quelques semaines, c'était encore une agence de presse, au même titre que Tass, AFP...
0  0