Vault 7 : Brutal Kangaroo, la boîte à outils développée par la CIA pour cibler les réseaux sensibles,

Protégés par un air wall

Le 2017-06-23 15:15:27, par Stéphane le calme, Chroniqueur Actualités

WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur une boîte à outils baptisée Brutal Kangaroo (v1.2.1) qui est utilisée par la CIA pour viser les réseaux informatiques fermés et les ordinateurs protégés par un air wall, autrement dit non reliés à Internet. Rappelons qu’il s’agit là d’une technique employée dans des organisations sensibles afin de placer hors de portée des pirates des systèmes manipulant des informations très confidentielles.

La version précédente de Brutal Kangaroo, EZCheese, exploitait une faille inconnue de l’éditeur jusqu’en mars 2015, bien que la version la plus récente utilisait la « vulnérabilité de fichier de lien inconnue (Lachesis / RiverJack) liée à la fonctionnalité de bibliothèque du système opérateur. »

L’exploit EZCheese, qui a été neutralisé par un patch que Microsoft semble avoir publié en 2015, était lancé chaque fois qu'une icône de fichier malveillant a été affichée par l'explorateur Windows. Un exploit ultérieur connu sous le nom de Lachesis a utilisé la fonctionnalité autorun de Windows pour infecter les ordinateurs exécutant Windows 7. Lachesis n'a pas exigé que l'explorateur affiche des icônes. L'exploit de RiverJack, quant à lui, a utilisé la fonction Windows Library-ms pour infecter les ordinateurs exécutant Windows 7, 8 et 8.1. Riverjack n'était lancé que lorsqu'une jonction de bibliothèque était visualisée dans l’Explorateur.

Comme le font de nombreuses méthodes d’infection air gap, l’outil infecte d'abord un ordinateur connecté à Internet au sein de l'organisation (appelé « hôte principal ») et installe le logiciel malveillant. Lorsqu'un utilisateur se sert de cet ordinateur et y insère une clé USB, le logiciel-espion se reproduit sur celle-ci et infecte d'autres ordinateurs si cette clé USB est utilisée pour copier des données entre les ordinateurs dans le réseau fermé.

« Si plusieurs ordinateurs sur le réseau fermé sont sous le contrôle de la CIA, ils forment alors un réseau secret pour coordonner les tâches et échanger des données. Bien que non explicitement indiquée dans les documents, cette méthode de compromission des réseaux fermés est très similaire à la façon dont Stuxnet a fonctionné » , a expliqué WikiLeaks.
.
« Les composants Brutal Kangaroo créent un réseau caché personnalisé dans le réseau fermé cible et fournissent des fonctionnalités pour l'exécution des sondages, des listes de répertoires et des exécutables arbitraires », indique un manuel de la CIA qui a été divulgué.

Au cœur de Brutal Kangaroo se trouvent deux exploits (Giraffe et Okabi), des vecteurs d’attaque se basant sur LNK. Notons que, depuis février 2016, Microsoft a publié plusieurs correctifs relatifs à la façon dont ses systèmes gèrent ces fichiers. Dont un en ce mois de juin.

Source : WikiLeaks

Discussion forum

247 commentaires

Grogro
Membre extrêmement actif

Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?

le 05/09/2017 à 14:43
marsupial
Expert éminent

Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.

le 09/07/2017 à 0:02
Tartare2240
Membre averti

Donc, si j'ai bien compris, la CIA, donc agence gouvernementale américaine, espionne le FBI, autre agence gouvernementale américaine...

...ces idiots sévères n'ont pas assez d'ennemis à l'extérieur pour devoir espionner leurs propres agences !??

le 24/08/2017 à 16:29
fenkys
Membre éprouvé

La NSA espionnée ? Il n'y a que moi que cette information amuse ?

le 28/08/2017 à 11:53
Pierre GIRARD
Expert éminent

Il y a aussi moi, mais je suis bien persuadé que la NSA, de son côté, a tout ce qu'il faut pour espionner le FBI et la CIA. Ne somment nous pas dans le pays des libertés, celui dans lequel n'importe quel fou peut acheter n'importe quelle arme pour faire n'importe quoi n'importe quand ?

le 28/08/2017 à 12:18
LittleWhite
Responsable 2D/3D/Jeux

Meme si le prerequis du noyau est vieux, il faut se rappeler de deux choses :
- les cibles sont precises (un SI precis) et l'objectif n'est pas de contaminer tout le monde, mais juste la ciblr (plus discret)
- ils peuvent avoir des exploits plus recents. La, il ne me semble pas reposer sur une faille quelconque, donc libre a eux de recompiler le module pour une version plus recente, si besoin est.

le 01/07/2017 à 12:42
earhater
Membre éprouvé

Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?

le 17/07/2017 à 18:04
TiranusKBX
Expert confirmé

@Tartare2240
Les intérêts de la CIA ne sont pas les même que ceux des autres agences vus que une partie de leurs opérations vont à l'encontre du bien commun en infiltrant des organisation mafieuses pour engranger du fric

le 25/08/2017 à 7:41
Ryu2000
Membre extrêmement actif

Envoyé par Anthony

Quel est votre avis sur le sujet ?

Les lanceurs d'alerte prennent cher.
C'est très dissuasif.

Il est extremement dangereux de donner des preuves de crimes réalisés par ton pays (surtout si t'es étasunien).

le 02/02/2024 à 15:19
Prox_13
Membre éprouvé

Envoyé par Anthony

Quel est votre avis sur le sujet ?

Une honte internationale. Si les Russes n'avaient explosé leur réputation, cette décision de "justice" aurait été leur meilleur coup de pub.
Mais quelle honte, franchement ! 40 ans de prison !!!

Envoyé par Anthony

La fuite dite Vault 7 a révélé comment la CIA a piraté des smartphones Apple et Android dans le cadre d'opérations d'espionnage à l'étranger, ainsi que des efforts visant à transformer des téléviseurs connectés à Internet en dispositifs d'écoute. Avant son arrestation, M. Schulte avait participé à la création des outils de piratage en tant que codeur au siège de l'agence à Langley, en Virginie.

Dispositif qui a couté plus de 100.000.000$ à mettre en place, aux frais du contribuable américain !!!

En somme, ils ont volé 100 millions de dollars pour espionner les citoyens et si y'a un qui moufte, il prend le reste de sa vie en taule ! Non mais ce scandale !

Envoyé par Anthony

"[Schulte a] trahi son pays en commettant certains des crimes d'espionnage les plus effrontés et les plus odieux de l'histoire américaine"

Non mais vous voulez qu'on parle des crimes d'espionnage les plus effrontés de l'histoire américaine ?! Comme le programme PRISM qui consistait a laisser l'Europe drainer les données américaines pour que les services secret américains puissent accéder aux informations sans être légalement responsable de les avoir espionnés !?! Non parce ce viol a ciel ouvert de la vie privée de millions de personnes n'a été révélé que GRACE à un effronté odieux qui les a leaké ! Et de surcroit, il les a leaké 6 ans après !

(Ah, je suis vert )

le 02/02/2024 à 16:11

Poster une réponse