Shadow Brokers : l'analyse de la dernière archive publiée par cette entité

Semble accréditer la théorie d'un dénonciateur en interne

Un groupe de pirates prétend vendre aux enchères des malwares et exploits utilisés par la NSA,
Cisco et Fortinet confirment que les vulnérabilités sont authentiques

En février 2015, l’éditeur russe d’antivirus Kaspersky a publié un rapport qui faisait état d’une campagne d’attaques de grande ampleur réalisée par un groupe baptisé « Equation Group » que le Russe avait identifié comme étant le « dieu » du cyberespionnage. Selon Kaspersky, ce dernier a été particulièrement actif au cours de la première décennie des années 2000, toutefois, le Russe évoque également certains cas qui remontent à 1996. Étant donné que les logiciels malveillants ainsi que les techniques utilisées par Equation Group se sont démarqués de leurs contemporains par leur niveau de sophistication, Kaspersky n’a pas hésité à émettre une hypothèse selon laquelle il existe un lien entre les outils développés par Equation Group et l’apparition de logiciels malveillants tels que Stuxnet ou Flame.

Sans jamais citer explicitement les services de la NSA, Kaspersky a expliqué dans son rapport que les capacités et la complexité des programmes attribués à Equation Group laissent penser qu’un acteur étatique était ici à la manœuvre. Un mois plus tard, Kaspersky a publié une autre analyse, encore une fois sans nommer explicitement la NSA, qui donnait du poids à sa première hypothèse, notamment qu’Equation Group était financé par un État.

Il y a quelques jours, un groupe de pirates qui se font appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant à ce fameux groupe Equation Group. Dans un anglais très maladroit, ils ont déclaré : « Nous avons pisté le trafic d’Equation Group. Nous avons découvert la plage source d’Equation Group. Nous avons piraté Equation Group. Nous avons découvert de nombreuses cyberarmes conçues par Equation Group. Regardez vous-même les images. Nous allons vous donner gratuitement quelques fichiers d’Equation Group pour que vous puissiez les voir. Il s’agit d’une bonne preuve, pas vrai ? »

Sur leur site web, ils ont partagé des échantillons que des experts en cybersécurité ont examinés. Plusieurs d’entre eux ont conclu que ces échantillons semblent accréditer la thèse d’un piratage ayant débouché sur le vol des outils du Equation Group. Pour sa part, Matt Suiche, le fondateur de la startup spécialisée en cybersécurité Comae Technologies, a avancé : « Je n’ai pas encore testé ces exploits, mais il est évident qu’ils ressemblent à des exploits légitimes. » Le groupe de pirates a décidé de lancer des enchères en bitcoins pour vendre lesdits outils.

La NSA, qui est la victime supposée de ce piratage, s’est refusée à tout commentaire. Quoi qu’il en soit, Edward Snowden, l’ancien contractuel de la NSA, ne s’est pas fait prier pour donner son avis sur les réseaux sociaux. Selon lui, l’hypothèse la plus crédible est que ce groupe de pirates est parvenu à mettre la main sur un serveur de C&C appartenant à la NSA pour récupérer les fichiers qu’ils ont mis aux enchères. S’il rappelle que ce type de piratage n’est pas une première au sein des agences de renseignements, il précise tout de même que ce genre de manœuvre se fait rarement de manière publique.

Il s’est intéressé au timing des révélations de « The Shadow Brokers » qui intervient après un piratage de la convention démocrate et des comptes personnels de plus de 100 membres du parti démocrate, rapidement attribué à la Russie. Un timing qui laisse à penser que la Russie pourrait être derrière ce piratage.

Si des questions se posaient encore sur le piratage, Cisco a donné du poids dans une déclaration, confirmant l’authenticité des vulnérabilités vendues. L’équipementier a averti ses clients sur la présence de deux vulnérabilités qui ont été utilisées pour prendre le contrôle de ses équipements. « Cisco a immédiatement mené une enquête approfondie des fichiers qui ont été publiés et a identifié deux vulnérabilités affectant les dispositifs Cisco ASA qui nécessitent l'attention des clients », a déclaré l’entreprise. « Le 17 août 2016, nous avons émis deux avis de sécurité qui apportent des mises à jour logicielles gratuites ainsi que des solutions de contournement. »

Les exploits dont parle Cisco sont EpicBanana et ExtraBacon. EpicBanana était déjà connue et corrigée par Cisco en 2011. Celle-ci vise les Cisco ASA (Adaptive Security Appliance) et permet des attaques par déni de service ainsi que l’exécution de code potentiellement malveillant sur la machine visée. Toutefois, l’attaquant doit connaître le mot de passe SSH ou Telnet pour pouvoir mener à bien l’attaque. ExtraBacon est en revanche inconnue de Cisco et constitue donc une faille zero day. Ici, l’exploit vise également le pare-feu Cisco ASA sur des versions particulières (à partir de la 8.x jusqu’à la 8.4). Si l’attaque est lancée avec succès, l’exploit permet à un attaquant d’avoir accès au pare-feu sans un nom ou un mot de passe valide. Cisco a proposé une solution de contournement et travaille sur un correctif de sécurité.

Après Cisco, Fortinet a également publié une annonce où il déclare à ses clients qu’une des vulnérabilités publiées par The Shadow Brokers est authentique et vise l’un de ses équipements. Elle affecte notamment les machines FortiGate et permet à l’attaquant de prendre le contrôle de la machine. Notons que cette vulnérabilité a déjà été colmatée, par ailleurs elle n’affecte que les versions du firmware antérieures à la version 4.3.9.

Source : blog Cisco, blog FortiGate, tweeter Snowden, Kaspersky