Pour Halloween, Shadow Brokers, le collectif qui a publié une liste d’outils dont la NSA se serait servis pour mener diverses opérations d’infiltration et d’espionnage, a encore fait d’autres révélations. Après avoir fait un petit discours, mélange d’actualité politique (notamment les élections présidentielles aux Etats-Unis), pouvoir d’achat, guerre numérique et bien d’autres, le collectif a donné accès à un lien, mot de passe à la clé, pour les chercheurs désireux de mettre le grappin sur ces nouveaux éléments.
Selon des analyses de deux chercheurs indépendants, les données publiées par Shadow Brokers contenaient 352 adresses IP distinctes et 306 noms de domaine qui auraient été piratés par la NSA. Les horodateurs inclus dans les fichiers indiquent que les serveurs ont été ciblés entre le 22 août 2000 et le 18 août 2010. Parmi les adresses ciblées figurent 32 domaines .edu et 9 domaines .gov. Au total, les attaques ont été lancées dans 49 pays, les 10 pays les plus ciblés étant la Chine, le Japon, la Corée, l'Espagne, l'Allemagne, l'Inde, Taiwan, le Mexique, l'Italie et la Russie.
En France, nous pouvons signaler la présence de plusieurs domaines appartenant à l’opérateur Colt. « De nombreuses missions sur vos réseaux sont venues et viennent encore de ces adresses IP », a affirmé Shadow Brokers. Pour rappel, plusieurs conjectures rattachent Equation Group, surnommé il y a quelques années par Kaspersky comme étant « le dieu de l’espionnage », à la NSA.
Les fichiers fournissent également d’autres données. Parmi elles, des configurations d’une boîte à outils qui n’a pas encore été déterminée mais qui a servi à pirater des serveurs exécutant des systèmes d’exploitation Unix. Selon les premières analyses des chercheurs, plusieurs de ces serveurs compromis fonctionnaient sous Solaris, qui a connu sa période de gloire au début des années 2000. Linux et FreeBSD figurent également dans la liste.
« Si nous nous fions à ces données, alors elles peuvent contenir une liste d'ordinateurs qui ont été ciblés pendant cette période », a assuré Hacker House, une entreprise fournissant des services de sécurité. « Une brève analyse Shodan de ces hôtes indique que certains des hôtes affectés sont toujours actifs et exécutent le logiciel identifié. Ces hôtes peuvent encore contenir des artefacts d’Equation Group et doivent être soumis à des procédures de traitement des incidents ».
Les domaines et adresses IP semblent appartenir à des entreprises / organisations qui ont été piratées par la NSA. D’après les affirmations de Shadow Brokers lundi, une fois qu'elles ont été compromises, certaines d'entre elles ont peut-être été utilisées pour attaquer d'autres cibles de la NSA. Si cela est vérifié, la liste pourrait aider d'autres entreprises / organisations à déterminer qui peut avoir été derrière les interactions suspectes qu'elles avaient avec les serveurs figurant dans la liste. La possibilité que certains des serveurs piratés aient été utilisés pour attaquer d'autres sites a été soulevée par les chercheurs suite à une discussion portant sur un outil appelé pitchimpair qui désigne « des redirecteurs phares d’Equation Group » selon Shadow Brokers. Il faut rappeler qu’en général, les redirecteurs sont utilisés pour diriger subrepticement un utilisateur d'un domaine vers un autre. « Ainsi la NSA pirate des machines depuis des serveurs compromis en Chine ou en Russie. C’est pourquoi l’attribution (des attaques, NDLR) est si difficile », a commenté le chercheur Mustafa Al-Bassam sur Twitter.
Source : Shadow Brokers, Hacker House, Flash Point, liste des noms de serveurs (document Excel)
Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA
Pour ses opérations d'espionnage avec Equation Group
Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA
Pour ses opérations d'espionnage avec Equation Group
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !