Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA,

Peut infecter toutes les versions de Windows

Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA,
peut infecter toutes les versions de Windows

WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur un outil appelé Athena.

Selon les documents divulgués, WikiLeaks a indiqué qu’Athena est un implant (un terme technique de la CIA pour désigner les « logiciels malveillants ») qui peut cibler et infecter tout système Windows, de Windows XP à Windows 10, la dernière version du système d'exploitation de Microsoft.

Les documents qui ont filtré hier comportent des dates qui vont de septembre 2015 à février 2016, montrant que la CIA avait la possibilité de pirater Windows 10 quelques mois après son lancement, malgré le fait que Microsoft mettait fièrement en avant la difficulté de pirater son nouveau système d'exploitation.

Sur le plan technique, Athena n'est pas si spécial en comparaison aux autres logiciels malveillants développés pour les opérations d'espionnage numérique de l’agence. Selon les documents, un agent de la CIA dispose d'un constructeur avec des options pour générer une charge utile du malware Athena. Cette charge utile peut être spécifiquement assemblée pour fonctionner avec un serveur C&C en ligne, hors ligne ou en mode RAM uniquement (également connu sous le nom de mode sans disque/sans fichier).

Pour l'installation d'Athena, les opérateurs disposent de différentes méthodes allant des méthodes de livraison classiques à la compromission de la chaîne d'approvisionnement, et même via un opérateur sur le terrain, si cela devait s’avérer nécessaire.

Une fois sur le PC d'une cible, Athena communique avec un serveur C&C d'où il reçoit des instructions ou des charges utiles supplémentaires qu'il faudrait installer sur l'ordinateur de sa victime. Le malware fournit une capacité de balisage (y compris la configuration et la gestion des tâches), le chargement/déchargement de la mémoire de charges utiles malveillantes pour des tâches spécifiques et la livraison et la récupération de fichiers vers/depuis un répertoire spécifié sur le système cible. Il permet à l'opérateur de configurer les paramètres pendant l'exécution (pendant que l'implant est sur la cible) pour le personnaliser à une opération.

Ce qui est plus intéressant, c'est que les documents révèlent que la CIA a été épaulée par un entrepreneur non gouvernemental lors du développement du logiciel malveillant : l’entreprise Siege Technologies. Cette dernière est une société de cybersécurité basée dans le New Hampshire, qui a été acquise le 15 novembre 2016 par Nehemiah Security, une autre société américaine basée à Tysons, en Virginie, à la périphérie de Washington et près du quartier général de la CIA. Une zone qui regorge de divers entrepreneurs militaires et de la défense.


Dans un courriel, Jason Syversen, fondateur de Siege Technologies qui a des antécédents en cryptographie et en hacking, a déclaré que son entreprise envisage des améliorations qui fourniraient en temps réel des commentaires sur la question de savoir si un exploit a réellement atteint sa cible. Les commandants militaires « veulent un cratère fumant pour prouver une attaque ayant réussi », a-t-il dit, tout en rappelant que « Nous n'avons pas cela dans le numérique. »

Syversen a expliqué qu'il avait l'intention de créer l'équivalent des soi-disant métriques militaires de probabilité de tuer, une analyse statistique pour savoir si une attaque est susceptible de réussir. « Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Depuis mars, WikiLeaks a fait neuf publications relatives à « Vault 7 », qui comprennent notamment (en dehors de cette publication) :

• AfterMidnight - permet aux opérateurs de charger et d'exécuter dynamiquement les charges utiles des logiciels malveillants sur une machine cible ;
• Archimedes - un outil d'attaque MitM prétendument créé par la CIA pour cibler les ordinateurs à l'intérieur d'un réseau local (LAN) ;
• Scribbles - un logiciel prétendument conçu pour intégrer des « balises web » dans des documents confidentiels, permettant à l'agence de suivre les initiés et les dénonciateurs ;
• Grasshopper - un framework qui a permis à l'agence de créer facilement des logiciels malveillants personnalisés pour entrer dans Microsoft Windows et contourner la protection antivirus ;
• Marbre - a révélé le code source d'un cadre anti-forensique secret, fondamentalement un obscurcisseur ou un emballeur utilisé par la CIA pour masquer la source réelle de ses logiciels malveillants ;
• Dark Matter - axé sur les exploits de piratage de l'agence conçus pour cibler des iPhones et des Macs ;
• Weeping Angel - outil d'espionnage utilisé par l'agence pour infiltrer les téléviseurs intelligents, en les transformant en micros secrets ;
• Year Zero - des exploits de piratage de la CIA pour infiltrer du matériel et des logiciels populaires.

Source : WikiLeaks