Archimedes : WikiLeaks publie un outil de la CIA pour mener des attaques man-in-the-middle
Au sein des réseaux locaux d'entreprise

Le , par Michael Guilloux, Chroniqueur Actualités
WikiLeaks continue de déballer le lot de documents et outils de piratage de la CIA qui est en sa possession ; lequel a commencé à être publié le 7 mars à travers l’opération baptisée Vault 7. Pratiquement chaque semaine, le lanceur d’alertes a mis en ligne, vague après vague, de nombreux manuels utilisateur et des bouts de code de certains outils de l’arsenal de l’agence américaine. La liste est longue et l'on peut citer l’outil Weeping Angel, un implant pour transformer les smart TV de Samsung en dispositifs d’écoute, ou encore Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes. L’un des derniers que nous avons signalés était Grasshopper, un outil pour développer des malwares personnalisés ciblant les PC Windows, mais également échapper à la détection des antivirus.

Ce weekend, WikiLeaks a révélé l’existence d’un autre outil baptisé Archimedes, qui lui-même était une mise à jour d’un autre outil de la CIA, baptisé Fulcrum. Ce dernier vise à attaquer un réseau LAN distant et d'après le guide utilisateur publié par WikiLeaks, Fulcrum « facilite l'utilisation d'une machine contrôlée [par la CIA] pour pivoter vers une autre machine cible non compromise qui se trouve sur le même LAN. L'application effectuera une attaque man-in-the-middle sur l'ordinateur cible. L'application va surveiller ensuite le trafic HTTP de la machine cible et rediriger la cible vers l'URL fournie lorsque les conditions appropriées sont respectées. »

Avant d’aller plus loin, rappelons qu’un réseau local ou LAN (Local Area Network) est un réseau informatique à travers lequel les terminaux qui y participent s'envoient des trames au niveau de la couche de liaison sans utiliser d’accès à internet, ce qui permet notamment de limiter les risques d’attaques informatiques. L’attaque de la CIA repose donc sur une « machine pivot », une machine contrôlée sur laquelle Fulcrum est exécutée.

« Fulcrum n'est pas un exploit ou un ver », est-il précisé dans le guide utilisateur. « Il ne fera pas d'exécution de code arbitraire sur une machine distante et ne créera pas d'escalade de privilège sur la machine pivot. Il n'affectera pas les applications ou les systèmes d'exploitation sur les machines pivots ou cibles. Fulcrum ne va pas se répliquer ou cibler automatiquement les machines sur un réseau local ... Fulcrum dirigera le trafic HTTP d'une machine cible vers l'URL de choix de l'attaquant ».

L’attaque de la CIA est une attaque main-in-the-middle basée sur l’ARP spoofing. Pour information, l’Address Resolution Protocol (ARP, protocole de résolution d’adresse) est un protocole effectuant la traduction d’une adresse de protocole de couche réseau (typiquement une adresse IPv4) en une adresse MAC (typiquement une adresse Éthernet), ou même de tout matériel de couche de liaison. Il se situe à l’interface entre la couche réseau et la couche de liaison. Fulcrum se concentre uniquement sur l'environnement IPv4 et Ethernet ; la combinaison d'IPv4 et Ethernet représentant l'écrasante majorité des réseaux locaux (LAN), est-il indiqué dans le manuel utilisateur.

La technique ARP Spoofing est utilisée sur un réseau local pour permettre à une machine contrôlée par un attaquant d'intercepter des trames de données de machines du réseau, allant vers d'autres destinations. Cela place la machine de l'attaquant au milieu de tout trafic de la machine de la cible vers une autre destination.

La CIA explique dans son manuel que « l'ARP Spoofing compromet la traduction d'adresse IPv4 des machines cibles en adresses MAC en envoyant des paquets ARP falsifiés qui associent l'adresse MAC de l'attaquant à l'adresse IP d'un autre hôte (par exemple, la passerelle par défaut). Tout le trafic destiné à cette adresse IP serait donc envoyé par erreur à l'attaquant », comme vous pouvez le voir sur la figure suivante.


Fulcrum utilise l'ARP spoofing pour se placer entre la machine cible et la passerelle par défaut sur le réseau local afin qu'il puisse surveiller tout le trafic quittant la machine cible. Une fois que tout le trafic réseau de la machine cible est acheminé vers la machine pivot, Fulcrum surveille des messages HTTP spécifiques. Connaissant l'activité de la machine cible, la CIA peut créer une fausse page Web identique à un site visité par la machine cible. Et quand la victime tentera d’accéder à ce site, Archimedes va la piéger en ouvrant la copie, par exemple pour récupérer des informations, des identifiants, etc. Ce logiciel a été spécialement conçu pour les environnements Windows XP, Vista et Seven.

Sources : Communiqué de WikiLeaks, Guide utilisateur Archimedes, Guide utilisateur Fulcrum


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Lyons Lyons - Membre éclairé https://www.developpez.com
le 08/05/2017 à 17:20
Mouais c'est pas la révélation du siècle non plus. L'ARP spoofing est vraiment une technique de base, y'a pléthore d'outil gratuits et opensource pour faire des ARP spoofing et tout ce qui s'en suit (spying, DNS spoofing, DoS...).
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 09/05/2017 à 3:00
pourquoi wikileaks diffuse des outils de piratage ? pour avoir plus de documents envoyés ? ou pour faire chier les particuliers ?
Avatar de domi65 domi65 - Membre averti https://www.developpez.com
le 12/05/2017 à 11:20
Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes.
Je me disais aussi, « sont cons ces hackers russes, supposés ultra performants, à se laisser gauler aussi facilement !»
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 20/05/2017 à 7:57
Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA,
peut infecter toutes les versions de Windows

WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur un outil appelé Athena.

Selon les documents divulgués, WikiLeaks a indiqué qu’Athena est un implant (un terme technique de la CIA pour désigner les « logiciels malveillants ») qui peut cibler et infecter tout système Windows, de Windows XP à Windows 10, la dernière version du système d'exploitation de Microsoft.

Les documents qui ont filtré hier comportent des dates qui vont de septembre 2015 à février 2016, montrant que la CIA avait la possibilité de pirater Windows 10 quelques mois après son lancement, malgré le fait que Microsoft mettait fièrement en avant la difficulté de pirater son nouveau système d'exploitation.

Sur le plan technique, Athena n'est pas si spécial en comparaison aux autres logiciels malveillants développés pour les opérations d'espionnage numérique de l’agence. Selon les documents, un agent de la CIA dispose d'un constructeur avec des options pour générer une charge utile du malware Athena. Cette charge utile peut être spécifiquement assemblée pour fonctionner avec un serveur C&C en ligne, hors ligne ou en mode RAM uniquement (également connu sous le nom de mode sans disque/sans fichier).

Pour l'installation d'Athena, les opérateurs disposent de différentes méthodes allant des méthodes de livraison classiques à la compromission de la chaîne d'approvisionnement, et même via un opérateur sur le terrain, si cela devait s’avérer nécessaire.

Une fois sur le PC d'une cible, Athena communique avec un serveur C&C d'où il reçoit des instructions ou des charges utiles supplémentaires qu'il faudrait installer sur l'ordinateur de sa victime. Le malware fournit une capacité de balisage (y compris la configuration et la gestion des tâches), le chargement/déchargement de la mémoire de charges utiles malveillantes pour des tâches spécifiques et la livraison et la récupération de fichiers vers/depuis un répertoire spécifié sur le système cible. Il permet à l'opérateur de configurer les paramètres pendant l'exécution (pendant que l'implant est sur la cible) pour le personnaliser à une opération.

Ce qui est plus intéressant, c'est que les documents révèlent que la CIA a été épaulée par un entrepreneur non gouvernemental lors du développement du logiciel malveillant : l’entreprise Siege Technologies. Cette dernière est une société de cybersécurité basée dans le New Hampshire, qui a été acquise le 15 novembre 2016 par Nehemiah Security, une autre société américaine basée à Tysons, en Virginie, à la périphérie de Washington et près du quartier général de la CIA. Une zone qui regorge de divers entrepreneurs militaires et de la défense.


Dans un courriel, Jason Syversen, fondateur de Siege Technologies qui a des antécédents en cryptographie et en hacking, a déclaré que son entreprise envisage des améliorations qui fourniraient en temps réel des commentaires sur la question de savoir si un exploit a réellement atteint sa cible. Les commandants militaires « veulent un cratère fumant pour prouver une attaque ayant réussi », a-t-il dit, tout en rappelant que « Nous n'avons pas cela dans le numérique. »

Syversen a expliqué qu'il avait l'intention de créer l'équivalent des soi-disant métriques militaires de probabilité de tuer, une analyse statistique pour savoir si une attaque est susceptible de réussir. « Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Depuis mars, WikiLeaks a fait neuf publications relatives à « Vault 7 », qui comprennent notamment (en dehors de cette publication) :
  • AfterMidnight - permet aux opérateurs de charger et d'exécuter dynamiquement les charges utiles des logiciels malveillants sur une machine cible ;
  • Archimedes - un outil d'attaque MitM prétendument créé par la CIA pour cibler les ordinateurs à l'intérieur d'un réseau local (LAN) ;
  • Scribbles - un logiciel prétendument conçu pour intégrer des « balises web » dans des documents confidentiels, permettant à l'agence de suivre les initiés et les dénonciateurs ;
  • Grasshopper - un framework qui a permis à l'agence de créer facilement des logiciels malveillants personnalisés pour entrer dans Microsoft Windows et contourner la protection antivirus ;
  • Marbre - a révélé le code source d'un cadre anti-forensique secret, fondamentalement un obscurcisseur ou un emballeur utilisé par la CIA pour masquer la source réelle de ses logiciels malveillants ;
  • Dark Matter - axé sur les exploits de piratage de l'agence conçus pour cibler des iPhones et des Macs ;
  • Weeping Angel - outil d'espionnage utilisé par l'agence pour infiltrer les téléviseurs intelligents, en les transformant en micros secrets ;
  • Year Zero - des exploits de piratage de la CIA pour infiltrer du matériel et des logiciels populaires.

Source : WikiLeaks
Avatar de mh-cbon mh-cbon - Membre actif https://www.developpez.com
le 20/05/2017 à 10:41
EDIT:
Roh lol j'ai répondu à un post de la première page.
Y'a un truc qui ne fonctionne pas bien dans la nav, des fois j'arrive à la dernière page, des fois à la première.

M'enfin bon, pas très grave, le post reste d'une actualité tout à fait brûlante,
en fait

___________________________________________

Citation Envoyé par emutramp Voir le message
Merci pour cet article très intéressant

Si il était évident que les agences gouvernemental se donnait a cœur joie d’insérer des backdoor / exploiter des vulnérabilités / espionner a grande échelle… sur les smartphone / objets connectés / ordinateurs ayant une parti (voir intégralement) un code source fermé (malheureusement, la politique / intégrité des ces organisations est loin de ce qu’ils affirment / devraient être), j’ai lu sur un autre site que les systèmes Linux était également visé.

Sans être dans l’illusion qu’un système complètement open source est synonyme de secu "bulletproof" (complet jusqu’au drivers de la carte graphique par exemple, nouveau pour les cartes nvidia et non le drivers propriétaire…), il serait intéressant de savoir jusqu’à ou ils ont poussé pour s’introduire sur ces OS.

Est-ce qu’un kernel utilisant le patch grsecurity, sur un système hardened comme Gentoo voir openBSD, avec des applications sandboxed, IDS… ont pu être bypass permettant un remote accès ou autre «*security leaks*»*?
Ne te berces pas trop d'illusions, amha, tous les systèmes sont trouées par la nsa, souviens toi de l'iran avec son système scada qui s'est fait bouffer à coups de clefs usb interposés.

Faut être réaliste nux n'est meilleur qu'en cela que les scripts kiddies et autres mangeurs d'argent nous foutent la paix avec leurs vers.

Citation Envoyé par emutramp Voir le message

Une hypothèse qui pourrait se confirmer avec cette affaire, sont les services de VPN (torguard / ivpn...) offrant, de ce qu’ils affirment, un non log de l’activité du trafic, vie privée etc etc pour quelques euros par mois, tout en proposant leurs logiciels vpn au code source fermé et arguant qu’openvpn peut être utilisé.
</hypothèse>
J'utilise un VPN, par contre, faudrait être stupide, ou naïf de croire que cela protège véritablement.
Je le vois plutôt ainsi, mieux vaut qu'une société privé sans droit particulier puisse voir mes logs sentencieux, et le cas échéant me promette de tout supprimer, qu'un état pourvu du droit de sentence.
Dans le même ordre d'idée, prendre un vpn dans un état non-otan, non-ue c'est encore mieux, c'est comme lorsque tu joues à l'évasion fiscale, tu installes des barrières entre ton pognon et ton administration, parce qu'au fond, tout pourrait se savoir très très très facilement.

Au sujet de la news,
il n'y a que cette tournure qui me chiffonnes,
en anglais ça sonne bien "the shoot to kill metric",
en français ça demande plus d'effort,
des idées?

Syversen a expliqué qu'il avait l'intention de créer l'équivalent
des soi-disant métriques militaires de probabilité de tuer métrique
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 20/05/2017 à 14:11
« Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Euh...
Les avis divergent...

Je ne saurai dire pourquoi, mais fichtrement vraiment pas pourquoi, j'ai comme l'impression que le NHS et plus de 300.000 victimes à travers plus de 150 pays ont un profond désaccord au sujet de cette opinion.

Mais je peux me tromper
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 25/05/2017 à 20:58
Bonjour,

On dirait le film traque sur internet ou les prétoires pourrait être non seulement la NSA, CIA comme commandants et autre mais également Facebook Google amazone pour la publicité

Normalement, si un système comme Linux et free-bsd sont open source, ils sont expertisables

A quand les antivirus qui enlève ces programmes pour éviter de participer à une guerre numériques ?

A quand des expertises indépendantes mêmes des programmées propriété pour savoir ce que font réellement nos ordinateurs tant du point de vu logiciel que matérielle ?

A quand le développement de matériels libres ?
https://fr.m.wikipedia.org/wiki/Mat%...3%A9riel_libre

https://korben.info/wiki/materiel_libre

Si vous pouviez voter pour un parti qui s'occupe de ces questions seriez-vous prêt à voter pour le parti pirate ?
Suisse
https://www.partipirate.ch/le-parti/

France
https://partipirate.org/

Que pensez-vous ?

Salutations
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 02/06/2017 à 18:00
Vault 7 : WikiLeaks révèle Pandemic, un outil de la CIA qui s'appuie sur un serveur Windows
Pour infecter des machines dans un réseau ciblé

WikiLeaks a publié encore une fois plus d’informations sur les outils de piratage de la CIA dans le cadre de sa série de fuites Vault 7. Cette fois-ci, le site a divulgué des détails sur un implant pour serveur nommé Pandemic. Il permet d’infecter des machines dans un réseau ciblé puis mener plusieurs actions.

« Pandemic » commence par contaminer un serveur, une fois l’implant en place, la CIA est en mesure d’infecter les ordinateurs des utilisateurs à distance avec n’importe quel malware qu’ils désirent. Lorsque les machines ciblées essaient d’accéder à un fichier dans le serveur infecté, Pandemic utilise une technique de diversion pour délivrer une version malicieuse du fichier sans se faire détecter, en effet, le fichier initial se transforme précisément au cours du transfert, ce qui complique sa détection. Le trojan est ensuite exécuté dans les ordinateurs ciblés. Chaque application détournée et installée place à son tour un implant dans la machine cliente, elle devient à son tour un vecteur d’infection pour d’autres ordinateurs, ce qui a donné son nom à ce type d’attaque.

Selon les documents publiés ce jeudi, il faut 15 secondes seulement à Pandemic pour qu’il soit installé sur un serveur. Toutefois, la méthode de cette infection n’a pas été précisée, elle pourrait s’appuyer sur une exploitation d’une faille de sécurité ou encore requérir un accès physique au serveur, comme c’est le cas pour de nombreux outils de la CIA.

Cette méthode consiste à passer par de fausses applications pour infecter les machines ciblées, une technique que la CIA a également suivie en détournant certains programmes populaires comme VLC et Notepad++ pour infecter ses cibles. La méthode de Pandemic consiste elle à remplacer des applications au moment du transit, pour éviter d’être détecté, et la machine ciblée se trouve avec le même exécutable du programme. Pandemic peut remplacer jusqu’à 20 logiciels de cette manière, à condition que chaque programme ne doive pas dépasser plus de 800 Mo.

Les documents publiés ce jeudi informent que Pandemic s’installe en tant que « File System Minifilter Driver ». Le chercheur en sécurité Jake Williams a informé ARS que le pilote en question doit être signé par un certificat valide ou qu’il soit installé en exploitant une faille de sécurité. Le certificat en question peut être soit acheté soit volé par l’agent. Ces restrictions et d’autres détails techniques laissent entendre que l’outil a été conçu pour des cas bien précis et non pas pour un usage général. En effet, les grandes entreprises n’ont pas recours aux serveurs de fichiers Windows la plupart du temps. On en conclut que Pandemic vise surtout les petites organisations. Le chercheur de sécurité a également informé que les documents publiés par Wikileaks ne permettent pas d’exploiter l’outil et qu’il manque certainement d’autres documents.

La divulgation de ces nouveaux détails sur les techniques de la CIA donne un autre coup dur aux services de renseignements américains qui ont été incapables de préserver au secret leurs exploits avancés et exploités lors des opérations d’espionnage. Toutefois, les fuites de Vault 7 et les outils de la CIA ne sont pas aussi sensibles que ceux de la NSA. L’agence américaine a connu aussi une vague de fuites lancées par un groupe de hackers connu sous le nom Shadow Brockers. Les outils de la NSA qui sont souvent conçus pour s’exécuter à distance sur un large éventail de machines sont plus avancés que ceux de la CIA. De plus, les Shadow Brockers ont publié des informations détaillées permettant de se faire une idée précise sur le fonctionnement des outils. La publication successive de ces fuites continue donc de nuire à la capacité offensive des agences américaines comme la CIA et la NSA.

Source : WikiLeaks

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA, peut infecter toutes les versions de Windows
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 06/06/2017 à 8:48
Citation Envoyé par Coriolan Voir le message
Cette méthode consiste à passer par de fausses applications pour infecter les machines ciblées, une technique que la CIA a également suivie en détournant certains programmes populaires comme VLC et Notepad++ pour infecter ses cibles.
Les salauds !

Si une équipe de créateur de ransomware mettait la main sur certains outils de la CIA ou du NSA ça pourrait peut être poser problème.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 06/06/2017 à 11:05
Bonjour,

Est-ce que outes les versions de VLC et notepad++ sont affectés par la CIA ?

Ce sont des programmes open source source donc normalement on peut corriger les failles non ?

Il ne reste pas moins que si quelqu'un en mettez la main sur les outils de la CIA ou la NSA Et créer des virus ou des ressent moins basé là-dessus ça pourrait poser de gros problèmes les éditeurs ont donc intérêt à corriger ses failles

J'ai entendu dans une émission il me semble que c'était l'échos des gnus dimanche soir à 19h sur radio campus lile http://campuslille.com/ Qu'une faille ou une méthode employée par la NSA ou la CIA peau de toutes façons un jour ou l'autre être employé par d'autres personnes malveillantes

De toutes façons je considère que la CIA ou la NSA sont eux-mêmes des pirates du moment qu'il nous vole notre vie privée. Il nous track to comme Google Microsoft et autres

J'espère que l'Europe interviendra pour faire bouger les choses dans le sens du respect de la vie privée

Salutations
Contacter le responsable de la rubrique Accueil