Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publiée
Avec les descriptifs associés
Le 2016-08-23 18:43:24, par Stéphane le calme, Chroniqueur Actualités
Près de deux semaines se sont écoulées depuis que le groupe de pirates se faisant appeler « The Shadow Brokers » a publié des échantillons d’exploits en ligne qu’ils ont prétendu avoir dérobés à « The Equation Group », un groupe disposant d’un arsenal de surveillance numérique tellement impressionnant et sophistiqué qu’il lui a valu le surnom de « dieu » de l’espionnage par Kaspersky. Plusieurs experts ont rattaché ce groupe à la NSA et, sur la base de documents de l’ancien contractuel de la NSA qui n’avaient pas encore été révélés au public, le quotidien Intercept a noté la signature numérique de la NSA, fournissant ainsi un élément de preuve qui va dans la direction des suppositions des experts.
Si des réserves avaient été émises de prime abord quant à la légitimité des exploits, l’équipementier Cisco, suivi par Fortinet ont confirmé dans déclarations que leurs infrastructures étaient vulnérables et que des mesures ont été prises pour endiguer les failles. De son côté, Kaspersky a lui aussi analysé le code qu’il a comparé avec les échantillons de code dans ses archives et a trouvé de nombreuses similitudes entre autres dans les modèles de codage qui lui ont fait déclarer « avec un grand degré de certitude » que les exploits publiés par The Shadow Brokers proviennent effectivement de The Equation Group. « Dans le logiciel malveillant de The Equation Group, la bibliothèque de chiffrement se sert d’une opération de soustraction avec la constante 0x61C88647. Dans la majorité du code RC5 /6 disponible publiquement, cette constante est généralement enregistrée comme étant 0x9E3779B9, qui est basiquement -0x61C88647. Étant donné que l’addition est plus rapide sur certains dispositifs matériels que la soustraction, il est logique de garder la constante dans sa forme négative et de l’ajouter au lieu de soustraire ».
Shadow Brokers a indiqué avoir publié 60 % des fichiers en leur possession puis a décidé de lancer une vente aux enchères afin de vendre les 40 % restant. La plupart des liens URL menant aux détails publiés par Shadow Brokers (sur GitHub, Tumblr ou alors PasteBin) ont été supprimés. Il n'y a aucun nouvel élément ici, toutefois, voici un récapitulatif des différents exploits et outils qui ont pu être trouvés avec les descriptifs associés.
Ici, un outil va désigner un logiciel qui peut déployer de multiples implants ainsi que des exploits. Un implant va représenter un logiciel malveillant qui est installé sur un dispositif compromis. Un exploit pour sa part va représenter une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil.
Source : blog Kaspersky, Risk Based Security, Mustafa Al-Bassam, Matt Suiche
Si des réserves avaient été émises de prime abord quant à la légitimité des exploits, l’équipementier Cisco, suivi par Fortinet ont confirmé dans déclarations que leurs infrastructures étaient vulnérables et que des mesures ont été prises pour endiguer les failles. De son côté, Kaspersky a lui aussi analysé le code qu’il a comparé avec les échantillons de code dans ses archives et a trouvé de nombreuses similitudes entre autres dans les modèles de codage qui lui ont fait déclarer « avec un grand degré de certitude » que les exploits publiés par The Shadow Brokers proviennent effectivement de The Equation Group. « Dans le logiciel malveillant de The Equation Group, la bibliothèque de chiffrement se sert d’une opération de soustraction avec la constante 0x61C88647. Dans la majorité du code RC5 /6 disponible publiquement, cette constante est généralement enregistrée comme étant 0x9E3779B9, qui est basiquement -0x61C88647. Étant donné que l’addition est plus rapide sur certains dispositifs matériels que la soustraction, il est logique de garder la constante dans sa forme négative et de l’ajouter au lieu de soustraire ».
Shadow Brokers a indiqué avoir publié 60 % des fichiers en leur possession puis a décidé de lancer une vente aux enchères afin de vendre les 40 % restant. La plupart des liens URL menant aux détails publiés par Shadow Brokers (sur GitHub, Tumblr ou alors PasteBin) ont été supprimés. Il n'y a aucun nouvel élément ici, toutefois, voici un récapitulatif des différents exploits et outils qui ont pu être trouvés avec les descriptifs associés.
Ici, un outil va désigner un logiciel qui peut déployer de multiples implants ainsi que des exploits. Un implant va représenter un logiciel malveillant qui est installé sur un dispositif compromis. Un exploit pour sa part va représenter une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil.
Nom | Type | Description |
1212/DEHEX | Outil | Outil pour convertir les chaînes de caractères hex en adresses IP et ports |
BANANABALLOT | Implant | Implant BIOS |
BANANAGLEE | Implant | Implant pare-feu qui ne persiste pas après des réinitialisations. Il fonctionne sur les dispositifs Cisco ASA et PIX |
BANANALIAR | Outil | Se connecte à un implant (qui n'est pas encore déterminé pour le moment) |
BANNANADAIQUIRI | Implant | Est associé à SCREAMINGPILLOW |
BARGLEE | Implant | S'attaque aux pare-feu Juniper NetScreen 5.x |
BARICE | Outil | Shell pour déployer BARGLEE |
BARPUNCH | Implant | Module BANANAGLEE et BARGLEE |
BBALL | Implant | Module BANANAGLEE |
BBALLOT | Implant | Module BANANAGLEE |
BBANJO | Implant | Module BANANAGLEE |
BCANDY | Implant | Module BANANAGLEE |
BEECHPONY | Implant | Implant pare-feu (prédécesseur BANANAGLEE) |
BENIGNCERTAIN | Outil | Outil pour extraire les clés VPN des pare-feu Cisco PIX |
BFLEA | Implant | Module BANANAGLEE |
BILLOCEAN | Outil | Extrait des nombres sérialisés des pare-feu Fortinet Fortigate |
BLATSTING | Implant | Implant pare-feu pour déployer EGREGIOUSBLUNDER et ELIGIBLEBACHELOR |
BMASSACRE | Implant | Module BANANAGLEE et BARGLEE |
BNSLOG | Implant | Module BANANAGLEE et BARGLEE |
BOOKISHMUTE | Exploit | Exploit contre un pare-feu indéterminé |
BPATROL | Implant | Module BANANAGLEE |
BPICKER | Implant | Module BANANAGLEE |
BPIE | Implant | Module BANANAGLEE et BARGLEE |
BUSURPER | Implant | Module BANANAGLEE |
BUZZDIRECTION | Implant | Implant pare-feu Fortinet Fortigate |
CLUCKLINE | Implant | Module BANANAGLEE |
CONTAINMENTGRID | Exploit | Charge utile préparée qui peut être déposée via l'exploit ELIGIBLEBOMBSHELL. Les pare-feu TOPSEC tournant sur running TOS 3.3.005.066.1 sont vulnérables |
DURABLENAPKIN | Outil | Outil pour injection de paquets sur des connexions LAN |
EGREGIOUSBLUNDER | Exploit | RCE pour des pare-feu Fortinet FortiGate qui affecte les versions 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600 et 3600A |
ELIGIBLEBACHELOR | Exploit | Exploit sur les pare-feu TOPSEC tournant sur les versions 3.2.100.010, 3.3.001.050, 3.3.002.021 et 3.3.002.030 du système d'exploitation TOS |
ELIGIBLEBOMBSHELL | Exploit | RCE pour les pare-feu TOPSEC affectant les versions allant de 3.2.100.010.1_pbc_17_iv_3 à 3.3.005.066.1 |
ELIGIBLECANDIDATE | Exploit | RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 |
ELIGIBLECONTESTANT | Exploit | RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 et qui ne peut être exécuté qu'après ELIGIBLECANDIDATE |
EPICBANANA | Exploit | Élévation de privilèges sur Cisco ASA (versions 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832) et Cisco PIX (versions 711, 712, 721, 722, 723, 724, 804) |
ESCALATEPLOWMAN | Exploit | Élévation de privilèges sur les produits WatchGuard. L'entreprise a assuré qu'il ne fonctionne pas sur ses nouveaux produits |
EXTRABACON | Exploit | RCE sur Cisco ASA versions 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844 (CVE-2016-6366) |
FALSEMOREL | Exploit | Exploit Cisco qui extrait les mots de passe activés si Telnet est activé sur le dispositif |
FEEDTROUGH | Implant | Implant persistant sur les pare-feu Juniper NetScreen pour déployer BANANAGLEE et ZESTYLEAK |
FLOCKFORWARD | Exploit | Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL. Elle affecte les pare-feu TOPSEC tournant sur TOS 3.3.005.066.1 |
FOSHO | Outil | Bibliothèque Python pour modifier les requêtes HTTP utilisées dans les exploits |
GOTHAMKNIGHT | Exploit | Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.100.010.8_pbc_27 |
HIDDENTEMPLE | Exploit | Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.8840.1 |
JETPLOW | Implant | Implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif |
JIFFYRAUL | Implant | Module BANANAGLEE pour Cisco PIX |
NOPEN | Outil | Outil de post-exploitation shell |
PANDAROCK | Outil | Outil pour connecter les implants POLARPAWS |
POLARPAWS | Implant | Implant pare-feu pour des constructeurs non déterminés |
POLARSNEEZE | Implant | Implant pare-feu pour des constructeurs non déterminés |
SCREAMINGPLOW | Implant | Implant Cisco ASA et PIX utilisé pour inséré BANANAGLEE dans le dispositif |
SECONDDATE | Outil | Outil d'injection de paquets sur les connexions Wi-Fi et LAN. Utilisé avec BANANAGLEE et BARGLEE |
TEFLONDOOR | Outil | Shell de post-exploitation disposant d'une fonction d'autodestruction |
TURBOPANDA | Outil | Outil pour connecter les implants HALLUXWATER |
WOBBLYLLAMA | Exploit | Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL qui affecte les pare-feu TOPSEC tournant sur TOS 3.3.002.030.8_003 |
XTRACTPLEASING | Outil | Convertit les données en fichiers PCAP |
ZESTYLEAK | Implant | Implant pare-feu Juniper NetScreen |
Source : blog Kaspersky, Risk Based Security, Mustafa Al-Bassam, Matt Suiche
-
Matthieu VergneExpert éminentOu comment fabriquer un ennemi pour justifier son salaire.le 26/09/2016 à 14:32
-
hotcryxMembre extrêmement actifIls espionnent le monde entier, ils laissent des codes sur des serveurs, la Clinton n'utlise pas des serveurs dédiés sécurisés mais c'est toujours la faute des hackers et plus précisement des hackers russes.
Ca va mal finir tout ça, mais ce n'est JAMAIS la faute des américains (le sauveur du monde auto proclamé).
Ne manquez pas ce soir la confrontation entre Trump & Hillaryle 26/09/2016 à 16:06 -
marsupialExpert éminentExcusez nous d avoir laisse trainer une tete nucleaire. Mais on ne vous dit rien pour savoir qui va l utiliser pour savoir qui l a recuperee.le 26/09/2016 à 16:55
-
yentoMembre expertLa résolution a peu d'importance, spécialement quand ça touche a du matériel type cisco/pix.
Les vieux matériels sont end-of-life, ne sont plus en vente ni supportés depuis un moment et ne seront pas corrigés. Les nouveaux encore supportés auront un patch, mais encore faut il qu'un sysadmin aille ressortir le matériel poussiéreux du placard et applique le patch.
Si on oublie Google et la NSA un instant. La majorité des TPE-PME gardent leur matériel tel quel et seront vulnérables pendant les 10 prochaines années en moyenne.le 27/08/2016 à 14:17 -
marsupialExpert éminentUne société de sécurité hongroise vient de modifier le code pour vérifier si la faille pouvait être utilisée sur des versions plus récentes : affirmatif sur toute la gammesnon des pare-feu CISCO.
Source Arsle 23/08/2016 à 22:44 -
marsupialExpert éminentL'information en elle même ne réside pas dans les failles que MS annonce patchées pour l'essentiel mais bien que le secret bancaire a été violé. Surtout celui des banques centrales du monde entier donnant des informations primordiales aux US sur le cours des changes et les politiques monétaires. Je ne suis pas spécialiste financier, loin de là, par contre je pense que ces données valaient bien plus que leur pesant d'or sur le terrain de la guerre économique et financière comme celle que se livre américains et chinois.le 18/04/2017 à 9:50
-
LSMetagExpert confirméLe réseau ça a toujours été mon point faible, donc pas étonnant.
Pour en revenir au sujet, j'imagine que la NSA va aller récupérer les 40% de documents restant via les enchères.
C'est pas très malin si on veut lutter contre Big Brother. Mais bon, c'est très lucratif.
A moins que les failles vendues ne soien'y déjà résolues ^^le 23/08/2016 à 19:15 -
MadmacMembre extrêmement actifQuand on sait comme recrute la NSA recrute les 'black hats", cela me surprendrait pas que le problème soit interne.le 27/08/2016 à 22:31
-
marsupialExpert éminentQue pensez-vous de la théorie d’un autre Snowden ?
Et vu la quantité d'outils utilisés par la NSA, ce ne sera alors sans doute pas la dernière de nos surprises.
En poussant le raisonnement dans cette voie, on pourrait réaliser que rien n'est réellement à l'abri des regards avec toutes les conséquences que cela implique.le 30/08/2016 à 22:07 -
ALTMembre émériteEuh...
Reuters est un quotidien, maintenant ?
Il y a quelques semaines, c'était encore une agence de presse, au même titre que Tass, AFP...le 29/09/2016 à 9:52