Vault 7 : WikiLeaks révèle Pandemic, un outil de la CIA qui s'appuie sur un serveur Windows

WikiLeaks a publié encore une fois plus d’informations sur les outils de piratage de la CIA dans le cadre de sa série de fuites Vault 7. Cette fois-ci, le site a divulgué des détails sur un implant pour serveur nommé Pandemic. Il permet d’infecter des machines dans un réseau ciblé puis mener plusieurs actions.

« Pandemic » commence par contaminer un serveur, une fois l’implant en place, la CIA est en mesure d’infecter les ordinateurs des utilisateurs à distance avec n’importe quel malware qu’ils désirent. Lorsque les machines ciblées essaient d’accéder à un fichier dans le serveur infecté, Pandemic utilise une technique de diversion pour délivrer une version malicieuse du fichier sans se faire détecter, en effet, le fichier initial se transforme précisément au cours du transfert, ce qui complique sa détection. Le trojan est ensuite exécuté dans les ordinateurs ciblés. Chaque application détournée et installée place à son tour un implant dans la machine cliente, elle devient à son tour un vecteur d’infection pour d’autres ordinateurs, ce qui a donné son nom à ce type d’attaque.

Selon les documents publiés ce jeudi, il faut 15 secondes seulement à Pandemic pour qu’il soit installé sur un serveur. Toutefois, la méthode de cette infection n’a pas été précisée, elle pourrait s’appuyer sur une exploitation d’une faille de sécurité ou encore requérir un accès physique au serveur, comme c’est le cas pour de nombreux outils de la CIA.

Cette méthode consiste à passer par de fausses applications pour infecter les machines ciblées, une technique que la CIA a également suivie en détournant certains programmes populaires comme VLC et Notepad++ pour infecter ses cibles. La méthode de Pandemic consiste elle à remplacer des applications au moment du transit, pour éviter d’être détecté, et la machine ciblée se trouve avec le même exécutable du programme. Pandemic peut remplacer jusqu’à 20 logiciels de cette manière, à condition que chaque programme ne doive pas dépasser plus de 800 Mo.

Les documents publiés ce jeudi informent que Pandemic s’installe en tant que « File System Minifilter Driver ». Le chercheur en sécurité Jake Williams a informé ARS que le pilote en question doit être signé par un certificat valide ou qu’il soit installé en exploitant une faille de sécurité. Le certificat en question peut être soit acheté soit volé par l’agent. Ces restrictions et d’autres détails techniques laissent entendre que l’outil a été conçu pour des cas bien précis et non pas pour un usage général. En effet, les grandes entreprises n’ont pas recours aux serveurs de fichiers Windows la plupart du temps. On en conclut que Pandemic vise surtout les petites organisations. Le chercheur de sécurité a également informé que les documents publiés par Wikileaks ne permettent pas d’exploiter l’outil et qu’il manque certainement d’autres documents.

La divulgation de ces nouveaux détails sur les techniques de la CIA donne un autre coup dur aux services de renseignements américains qui ont été incapables de préserver au secret leurs exploits avancés et exploités lors des opérations d’espionnage. Toutefois, les fuites de Vault 7 et les outils de la CIA ne sont pas aussi sensibles que ceux de la NSA. L’agence américaine a connu aussi une vague de fuites lancées par un groupe de hackers connu sous le nom Shadow Brockers. Les outils de la NSA qui sont souvent conçus pour s’exécuter à distance sur un large éventail de machines sont plus avancés que ceux de la CIA. De plus, les Shadow Brockers ont publié des informations détaillées permettant de se faire une idée précise sur le fonctionnement des outils. La publication successive de ces fuites continue donc de nuire à la capacité offensive des agences américaines comme la CIA et la NSA.

Source : WikiLeaks

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA, peut infecter toutes les versions de Windows