Vault 7 : Brutal Kangaroo, la boîte à outils développée par la CIA pour cibler les réseaux sensibles,
Protégés par un air wall

Le , par Stéphane le calme, Chroniqueur Actualités
WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur une boîte à outils baptisée Brutal Kangaroo (v1.2.1) qui est utilisée par la CIA pour viser les réseaux informatiques fermés et les ordinateurs protégés par un air wall, autrement dit non reliés à Internet. Rappelons qu’il s’agit là d’une technique employée dans des organisations sensibles afin de placer hors de portée des pirates des systèmes manipulant des informations très confidentielles.

La version précédente de Brutal Kangaroo, EZCheese, exploitait une faille inconnue de l’éditeur jusqu’en mars 2015, bien que la version la plus récente utilisait la « vulnérabilité de fichier de lien inconnue (Lachesis / RiverJack) liée à la fonctionnalité de bibliothèque du système opérateur. »

L’exploit EZCheese, qui a été neutralisé par un patch que Microsoft semble avoir publié en 2015, était lancé chaque fois qu'une icône de fichier malveillant a été affichée par l'explorateur Windows. Un exploit ultérieur connu sous le nom de Lachesis a utilisé la fonctionnalité autorun de Windows pour infecter les ordinateurs exécutant Windows 7. Lachesis n'a pas exigé que l'explorateur affiche des icônes. L'exploit de RiverJack, quant à lui, a utilisé la fonction Windows Library-ms pour infecter les ordinateurs exécutant Windows 7, 8 et 8.1. Riverjack n'était lancé que lorsqu'une jonction de bibliothèque était visualisée dans l’Explorateur.

Comme le font de nombreuses méthodes d’infection air gap, l’outil infecte d'abord un ordinateur connecté à Internet au sein de l'organisation (appelé « hôte principal ») et installe le logiciel malveillant. Lorsqu'un utilisateur se sert de cet ordinateur et y insère une clé USB, le logiciel-espion se reproduit sur celle-ci et infecte d'autres ordinateurs si cette clé USB est utilisée pour copier des données entre les ordinateurs dans le réseau fermé.


« Si plusieurs ordinateurs sur le réseau fermé sont sous le contrôle de la CIA, ils forment alors un réseau secret pour coordonner les tâches et échanger des données. Bien que non explicitement indiquée dans les documents, cette méthode de compromission des réseaux fermés est très similaire à la façon dont Stuxnet a fonctionné » , a expliqué WikiLeaks.
.
« Les composants Brutal Kangaroo créent un réseau caché personnalisé dans le réseau fermé cible et fournissent des fonctionnalités pour l'exécution des sondages, des listes de répertoires et des exécutables arbitraires », indique un manuel de la CIA qui a été divulgué.

Au cœur de Brutal Kangaroo se trouvent deux exploits (Giraffe et Okabi), des vecteurs d’attaque se basant sur LNK. Notons que, depuis février 2016, Microsoft a publié plusieurs correctifs relatifs à la façon dont ses systèmes gèrent ces fichiers. Dont un en ce mois de juin.

Source : WikiLeaks


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Battant Battant - Membre averti https://www.developpez.com
le 23/06/2017 à 17:49
Citation Envoyé par mh-cbon Voir le message
EDIT:
Roh lol j'ai répondu à un post de la première page.
Y'a un truc qui ne fonctionne pas bien dans la nav, des fois j'arrive à la dernière page, des fois à la première.

M'enfin bon, pas très grave, le post reste d'une actualité tout à fait brûlante,
en fait

___________________________________________

Ne te berces pas trop d'illusions, amha, tous les systèmes sont trouées par la nsa, souviens toi de l'iran avec son système scada qui s'est fait bouffer à coups de clefs usb interposés.

Faut être réaliste nux n'est meilleur qu'en cela que les scripts kiddies et autres mangeurs d'argent nous foutent la paix avec leurs vers.

J'utilise un VPN, par contre, faudrait être stupide, ou naïf de croire que cela protège véritablement.
Je le vois plutôt ainsi, mieux vaut qu'une société privé sans droit particulier puisse voir mes logs sentencieux, et le cas échéant me promette de tout supprimer, qu'un état pourvu du droit de sentence.
Dans le même ordre d'idée, prendre un vpn dans un état non-otan, non-ue c'est encore mieux, c'est comme lorsque tu joues à l'évasion fiscale, tu installes des barrières entre ton pognon et ton administration, parce qu'au fond, tout pourrait se savoir très très très facilement.

Au sujet de la news,
il n'y a que cette tournure qui me chiffonnes,
en anglais ça sonne bien "the shoot to kill metric",
en français ça demande plus d'effort,
des idées?

Syversen a expliqué qu'il avait l'intention de créer l'équivalent
des soi-disant métriques militaires de probabilité de tuer métrique
Bonjour,

Il faut expertiser tous les systèmes qu'il soit open source ou non mais en particulier les systèmes open source qui sont plus facile à expertiser par 18 universitaire expert en sécurité et ensuite les mandater sais mais j'ai universitaire pour colmater toutes les failles de sécurité exploitée par la NSA

Les systèmes open source sont peut-être troué mais ils sont plus facile à réparer car ouvert

En Europe on a le droit à notre vie privée

Ce qui est sure c'est que c'est la guerre mais c'est très effrayant

Vont-ils s'introduire dans tous les ordinateurs pour installer des logiciels espions non détectable par antivirus ?

Quand est-ce qu'on aura droit à ne plus être espionné au nom du droit à la vie privée ?

Faut-il élire des parties spécialisés comme le parti pirate
Suisse
https://www.partipirate.ch/

France

http://partipirate.org/

Que pensez-vous ?

Salutations
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 29/06/2017 à 20:04
Vault 7 : WikiLeaks dévoile ELSA
Un malware de la CIA qui permet de géolocaliser des PC via des hotspots Wifi

WikiLeaks vient de publier un nouvel épisode de sa fameuse série Vault 7 qui détaille les activités de la Central Intelligence Agency (CIA) dans le domaine de la surveillance électronique. Cette fois, il s’agit d’un manuel utilisateur de 42 pages dédié à un outil dénommé ELSA.

ELSA est un outil de géolocalisation de PC qui se connectent à un réseau Wifi via un système d’exploitation Windows antérieur à la version 8.x. Le malware est conçu pour établir un modèle d’informations de localisation sur la base des détails tirés d’un point d’accès proche de la machine cible. Ces informations sont ensuite transmises soit à une base de données tierce, soit à l’ordinateur d’un agent à des fins de détermination de la latitude et de la longitude de l’appareil cible.


Le processus de géolocalisation débute bien évidemment avec l’injection du malware dans le PC de la victime. Après avoir généré la bibliothèque de liens dynamiques (Dll) nécessaire au pistage de l’ordinateur cible avec un outil dénommé PATCHER, l’agent doit la copier sur ladite machine. La bagatelle d’exploit dont dispose l’agence aide en principe à atteindre cet objectif aisément.

Une fois la Dll installée, elle assure la détection des hotspots Wifi environnant le PC infecté et entame l’enregistrement à intervalles réguliers de l’identifiant ESS – Extended Service Set – unique à chaque réseau. Il est à préciser que le malware est conçu pour que cette opération de collecte se fasse même en cas d’absence de réseau Wifi.

Présence de réseau Wifi ou pas, les informations nécessaires au pistage sont sauvegardées sur la machine cible dans un fichier chiffré avec l’algorithme AES-128. En cas de connexion de la victime à internet, le malware émet une requête vers un serveur de géolocalisation configuré d’avance par un agent.

Les informations obtenues de ce serveur – latitude, longitude de la machine cible et horodatage associé – sont à nouveau sauvegardées sur cette dernière. Par la suite, un agent se connecte à ladite machine et récupère le fichier de log créé par le malware. Il se sert ensuite d’un outil de déchiffrement pour obtenir les informations de géolocalisation ou mieux, interroger un autre serveur de géolocalisation pour avoir des informations plus précises.

Il faudrait préciser que le manuel a été rédigé pour le système d'exploitation Windows 7, ce qui laisse penser que l’agence pourrait disposer d’outils mis à jour pour Windows 10.

Source : Manuel

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de LapinGarou LapinGarou - Membre confirmé https://www.developpez.com
le 30/06/2017 à 14:35
Avec tous ces outils de la NSA, pourquoi tous ces hackeurs qui s'amusent a foutre le bor... partout sur les grandes entreprises ne s'en servent pas plutôt pour pister tous ces terroristes sur le web ? Avec tout leur savoir technique, quel gachis de ne se contenter que de bloquer telle ou telle entreprise pour lui montrer ses failles alors que pouvoir localiser abu truc-muche et ses congénère ça aidera à la chopper. Bref... Si il y avait une prime offerte là ils s'y mettraient je pense.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 30/06/2017 à 14:44
Tu à perdus le point de la bonne idée, les primes pour de telles cibles existent déjà
Avatar de Namica Namica - Membre expérimenté https://www.developpez.com
le 01/07/2017 à 3:49
Citation Envoyé par Patrick Ruiz Voir le message
...Il faudrait préciser que le manuel a été rédigé pour le système d'exploitation Windows 7, ce qui laisse penser que l’agence pourrait disposer d’outils mis à jour pour Windows 10...
Ben voyons...
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 01/07/2017 à 11:35
Vault 7 : WikiLeaks dévoile le malware OutlawCountry
Utilisé par la CIA pour créer une table netfilter masquée sous Linux Red Hat Linux 6.x et dérivés

Après les récentes révélations sur le malware ELSA utilisé pour pister des PC Windows connectés à des réseaux Wifi, la série se poursuit avec la publication du manuel utilisateur d’un autre outil utilisé par les agents de la Central Intelligence Agency (CIA) contre des ordinateurs tournant sous Linux.

L’outil, utilisé par l’agence depuis 2015, est un module du noyau qui crée une table netfilter cachée sur une cible Linux. Au chargement du module, la table cachée se voit assigner un nom obscur. Dans cette version de l’outil, le nom assigné à cette dernière est « dpxvke8h18 ».

La connaissance de ce nom permet à un agent de créer de nouvelles règles de gestion des paquets IP prioritaires par rapport aux anciennes et hors d’atteinte de détection par l’administrateur système puisque masquées.

Ainsi, des paquets IP en provenance du réseau Ouest – WEST_2 – et transitant par le serveur Linux compromis (TARG_1) à destination d’un hôte précis – par exemple EAST_3 – peuvent ainsi être redirigés vers des postes de surveillance tenus par des agents de la CIA EAST_4 ou EAST_5.



L’installation du module sur la cible se fait via un accès shell à la cible. Le procédé requiert cependant que l’opérateur dispose de droits root sur le système cible, toutes choses que les agents réalisent sûrement au moins du nombre important d’exploits dont l’agence dispose.

Le module malveillant est conçu pour tourner sur les versions 64 bits des distributions CentOS et Red Hat 6.x. munies d’un kernel 2.6 au moins et d’une table de routage NAT.

Comme d’habitude, la recommandation donnée aux intervenants sur les systèmes visés est de les maintenir à jour. Le manuel laisse cependant entrevoir un moyen additionnel de mitiger ce type d’attaque.

Le fait pour un administrateur système de redémarrer le service de gestion de la table de routage aurait pour effet de placer le module dans un état dormant, ce qui obligerait l’agent à relancer la procédure d’installation.

Source : Manuel

Et vous ?

Que pensez-vous de cette nouvelle révélation de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de FatAgnus FatAgnus - Membre habitué https://www.developpez.com
le 01/07/2017 à 12:34
Cette faille cible uniquement Red Hat ou dérivé avec le noyau Linux 64 bits 2.6.32. Autant dire que cela ne court pas les rues. Ce noyau Linux 2.6.32 est sorti il y a bientôt huit ans.

De plus l'attaquant doit déjà avoir un accès shell à un système pour réaliser cet exploit. Les privilèges administrateurs sont également nécessaires pour charger un module noyau qui n'est pas déjà installé... Avec un shell ouvert sous l'utilisateur « root » beaucoup de systèmes sont vulnérables...

À lire : I'm concerned about the OutlawCountry exploit
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 01/07/2017 à 12:42
Meme si le prerequis du noyau est vieux, il faut se rappeler de deux choses :
- les cibles sont precises (un SI precis) et l'objectif n'est pas de contaminer tout le monde, mais juste la ciblr (plus discret)
- ils peuvent avoir des exploits plus recents. La, il ne me semble pas reposer sur une faille quelconque, donc libre a eux de recompiler le module pour une version plus recente, si besoin est.
Avatar de Lcf.vs Lcf.vs - Membre averti https://www.developpez.com
le 01/07/2017 à 14:20
Perso, ce qui m'inquiète toujours, quand un exploit requiert un accès root, c'est de savoir comment ils l'obtiennent...

Je doute qu'ils misent sur le fait que leurs cibles soient forcément plus cons que d'autres, donc, est-ce que cette distrib a spécifiquement plus de failles que d'autres permettant cet accès?
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 01/07/2017 à 17:46
Pourtant, ils ont le choix. Ces dernieres annees, on a vu pas mal de faille, avec des noms "amusants" (qui marque) et on peut citer la faille de sudo, d'il y a quelques semaines, ou encore le stack clash de la semaine derniere.
Contacter le responsable de la rubrique Accueil