Vault 7 : WikiLeaks dévoile le malware OutlawCountry
Utilisé par la CIA pour créer une table netfilter masquée sous Linux Red Hat 6.x et dérivés

Le , par Patrick Ruiz, Chroniqueur Actualités
Après les récentes révélations sur le malware ELSA utilisé pour pister des PC Windows connectés à des réseaux Wifi, la série se poursuit avec la publication du manuel utilisateur d’un autre outil utilisé par les agents de la Central Intelligence Agency (CIA) contre des ordinateurs tournant sous Linux.

L’outil, utilisé par l’agence depuis 2015, est un module du noyau qui crée une table netfilter cachée sur une cible Linux. Au chargement du module, la table cachée se voit assigner un nom obscur. Dans cette version de l’outil, le nom assigné à cette dernière est « dpxvke8h18 ».

La connaissance de ce nom permet à un agent de créer de nouvelles règles de gestion des paquets IP prioritaires par rapport aux anciennes et hors d’atteinte de détection par l’administrateur système puisque masquées.

Ainsi, des paquets IP en provenance du réseau Ouest – WEST_2 – et transitant par le serveur Linux compromis (TARG_1) à destination d’un hôte précis – par exemple EAST_3 – peuvent ainsi être redirigés vers des postes de surveillance tenus par des agents de la CIA EAST_4 ou EAST_5.



L’installation du module sur la cible se fait via un accès shell à la cible. Le procédé requiert cependant que l’opérateur dispose de droits root sur le système cible, toutes choses que les agents réalisent sûrement au moins du nombre important d’exploits dont l’agence dispose.

Le module malveillant est conçu pour tourner sur les versions 64 bits des distributions CentOS et Red Hat 6.x. munies d’un kernel 2.6 au moins et d’une table de routage NAT.

Comme d’habitude, la recommandation donnée aux intervenants sur les systèmes visés est de les maintenir à jour. Le manuel laisse cependant entrevoir un moyen additionnel de mitiger ce type d’attaque.

Le fait pour un administrateur système de redémarrer le service de gestion de la table de routage aurait pour effet de placer le module dans un état dormant, ce qui obligerait l’agent à relancer la procédure d’installation.

Source : Manuel

Et vous ?

Que pensez-vous de cette nouvelle révélation de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de FatAgnus FatAgnus - Membre régulier https://www.developpez.com
le 01/07/2017 à 12:34
Cette faille cible uniquement Red Hat ou dérivé avec le noyau Linux 64 bits 2.6.32. Autant dire que cela ne court pas les rues. Ce noyau Linux 2.6.32 est sorti il y a bientôt huit ans.

De plus l'attaquant doit déjà avoir un accès shell à un système pour réaliser cet exploit. Les privilèges administrateurs sont également nécessaires pour charger un module noyau qui n'est pas déjà installé... Avec un shell ouvert sous l'utilisateur « root » beaucoup de systèmes sont vulnérables...

À lire : I'm concerned about the OutlawCountry exploit
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 01/07/2017 à 12:42
Meme si le prerequis du noyau est vieux, il faut se rappeler de deux choses :
- les cibles sont precises (un SI precis) et l'objectif n'est pas de contaminer tout le monde, mais juste la ciblr (plus discret)
- ils peuvent avoir des exploits plus recents. La, il ne me semble pas reposer sur une faille quelconque, donc libre a eux de recompiler le module pour une version plus recente, si besoin est.
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 01/07/2017 à 14:20
Perso, ce qui m'inquiète toujours, quand un exploit requiert un accès root, c'est de savoir comment ils l'obtiennent...

Je doute qu'ils misent sur le fait que leurs cibles soient forcément plus cons que d'autres, donc, est-ce que cette distrib a spécifiquement plus de failles que d'autres permettant cet accès?
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 01/07/2017 à 17:46
Pourtant, ils ont le choix. Ces dernieres annees, on a vu pas mal de faille, avec des noms "amusants" (qui marque) et on peut citer la faille de sudo, d'il y a quelques semaines, ou encore le stack clash de la semaine derniere.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 02/07/2017 à 4:32
Pas trop pigé, et je connais pas bien linux.

j'ai compris, je pense que :
- ce malware est injecté en module dans le kernel.
- qu'une version de kernel est utilisé par plein de distrib

Du coup pourquoi est ce que ce malware n'impacte que 2 distribs ?
ou alors il s'agit d'un kernel customisé pour ces deux distribs ?

pour moi, les distribs personnalisait la surcouche applicative, ou faisait un choix des technologie connectée au kernel,
mais que tout l'interieur du kernel pour une version donnée était la meme pour toute les distribs.

j'aimerais comprendre.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 07/07/2017 à 7:46
Vault 7 : WikiLeaks dévoile les malwares BothanSpy et Gyrfalcon
Utilisés par la CIA pour pirater des clients SSH sous Windows et Linux

WikiLeaks vient de faire d’une pierre deux coups avec la publication des manuels de deux malwares par le biais de la même annonce. Comme dans le cas du précédent de la série – le malware OutlawCountry – nous avons encore affaire à des implants, c’est-à-dire à des logiciels malveillants que l’agence introduit dans les systèmes de ses cibles en tirant parti d’exploit dont elle seule a le secret.

Gyrfalcon, le plus ancien des deux malwares, est un ensemble de scripts Python conçus pour compromettre l’espace d’adressage réservé au client Linux OpenSSH sur les distributions Red Hat, Ubuntu, Suse, Debian et CentOS. Il aurait servi à des agents de la CIA pour intercepter, de façon furtive, le trafic SSH des postes ciblés.

Comme les logiciels malveillants OutlawCountry et ELSA, il est prévu que les données exfiltrées soient sauvegardées sur la machine cible dans des fichiers chiffrés et récupérées lors d’une session de travail dédiée à cet effet par un agent.

Identifiants, mots de passe et autres données sensibles ont ainsi pu tomber aux mains de l’agence depuis 2013 si l’on s’en tient à la date apparaissant sur la documentation liée.

BothanSpy pour sa part repose sur des bibliothèques de liaison dynamique et des scripts Python pour compromettre les sessions du client SSH Windows Xshell.

La particularité avec ce dernier est que l’exfiltration des données peut se faire sans écriture sur un disque de la machine cible, ce qui, logiquement, est la configuration à adopter par un agent qui veut espionner sans laisser de traces. Ce dernier aurait été utilisé par l’agence depuis 2015.

Ces révélations de WikiLeaks viennent démontrer chaque fois un peu plus à quel point les systèmes sur lesquels des personnes physiques et morales se reposent tant sont vulnérables.

Le plus inquiétant est que, si l’on se réfère aux dates sur les documents publiés, la CIA disposerait d’une expertise avérée pour contourner les mécanismes de « sécurité dès la conception » en principe plus renforcés sur Linux en comparaison à Windows.

Avec de récentes statistiques qui montrent qu’il y a une augmentation importante du nombre de logiciels malveillants développés contre les systèmes tournant sous Linux, nul doute que le futur s’annonce riche en révélations supplémentaires.

Sources : Gyrfalcon (PDF), BothanSpy (PDF)

Et vous ?

Que pensez-vous de ces nouvelles révélations de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 07/07/2017 à 8:50
Citation Envoyé par Aiekick Voir le message
pour moi, les distribs personnalisait la surcouche applicative, ou faisait un choix des technologie connectée au kernel,
mais que tout l'interieur du kernel pour une version donnée était la meme pour toute les distribs.
J'utilise surtout Gentoo Linux, et rien que pour celle-là au moins trois versions (du kernel) sont maintenues:

gentoo-sources : Kernel spécialisé pour Gentoo
vanilla-sources : La version telle que distribuée par l'équipe de Torvalds
hardened-sources : Kernel spécialisé pour les serveurs

Je ne sais pas comment fonctionnent les autres distributions, mais je ne serai pas étonné qu'elles fournissent également des kernels patchés, optimisés pour l'usage qu'elles en font.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 09/07/2017 à 0:02
Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 17/07/2017 à 16:09
Vault 7 : WikiLeaks dévoile l’application Android HighRise
Supposément utilisée par la CIA pour l’interception et la redirection des SMS

La série Vault 7 de WikiLeaks dédiée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec la publication du manuel d’une application Android malveillante dénommée HighRise.

D’après WikiLeaks, HighRise fonctionne comme un proxy SMS qui permet d’intercepter et rediriger les messages textes entrants et sortants vers des serveurs de la CIA.

Les smartphones qui tournent sur Android 4.0 à 4.3 sont la cible de l’actuelle version du malware dont on suppose qu’elle a été mise à la disposition des agents de la CIA en décembre 2013.

Avant qu’elle ne puisse être exploitée par un agent, l’application nécessite une installation sur le smartphone cible, ce qui suppose que l’agent a accès à ce dernier. Une fois l’application installée, elle apparaît à l’écran sous le nom Tidecheck.


Une activation de l’application est ensuite requise. Elle se fait par un clic sur l’icône Tidecheck suivi de la saisie d’un mot de passe – configuré sur la chaîne de caractères « inshallah » - et la pression sur un bouton d’initialisation.

L’application est dès lors activée et se met à tourner en arrière-plan après un redémarrage du smartphone. Les messages textes entrants et sortants sont alors interceptés et redirigés vers un centre d’écoute de la CIA.

Cette nouvelle publication de WikiLeaks présente également ce que l’on pourrait considérer comme un implant – c’est-à-dire, un logiciel malveillant que l’agence introduit dans un système cible en tirant parti d’un exploit dont elle seule a le secret –comme celles qui la précèdent.

Dans le cas des malwares BothanSpy et Gyrfalcon utilisés pour pirater des clients SSH sous Windows ou Linux, on sait qu’ils sont constitués pour l’un, de bibliothèques de liaison dynamiques et pour l’autre de scripts python qu’un agent doit « introduire » dans le système cible. L’exploit utilisé pour réussir cette introduction n’est cependant pas précisé.

Dans le cas de cette dernière publication, l’introduction du malware requiert un accès au smartphone cible. Tout le problème ici est de savoir comment l’agent arrive à passer outre le verrouillage d’un appareil – dans les cas où il est configuré – qu’il lui faut absolument compromettre.

Voilà autant d’interrogations qui, finalement, laissent toujours un goût d’inachevé après la lecture d’une des publications de WikiLeaks. Les informations manquantes sont probablement passées aux agents par voie orale pour laisser le moins d’informations possible dans les manuels.

Source : HighRise 2.0 (PDF)

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 17/07/2017 à 18:04
Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?
Avatar de kopbuc kopbuc - Membre du Club https://www.developpez.com
le 17/07/2017 à 19:21
Ouais donc en gros du foutage de gueule
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 17/07/2017 à 19:29
J'ai pensé à une autre approche :
"L'application est nécessaire pour les criminels (pour X ou Y raisons). Ils téléchargent le fake de la CIA. Comme c'est une application qui est comme privée, il y a un mot de passe à l'accès. Sur le forum où le gars la récupéré, le mot de passe indiqué dans l'article est donné. Voilà, vous avez déclenché l'espion sans qu'il y ait eu accès au téléphone ".
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/07/2017 à 23:27
un malware qui nécessite qu'on entre un code pour l’activer. c'est pas le troll du vendredi ? vous etes sur ?
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 18/07/2017 à 6:04
Pareil pour moi, un code pour le désactiver : J'aurais beaucoup mieux compris.
Avatar de hotcryx hotcryx - Membre chevronné https://www.developpez.com
le 18/07/2017 à 14:05
Pourquoi l'activer, il est déjà installé, c'est du foutage de gueule.

J'avais une applic similaire pour espionner mon téléphone, je demandais un mot de passe mais ce n'était pas pour l'activer mais pour accéder à l'interface.
Le programme lui était déjà actif.

Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 18/07/2017 à 14:21
Citation Envoyé par hotcryx Voir le message
...Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Le but, c'était quoi ?

Car moi, mon portable étant toujours avec moi, je ne vois pas l'intérêt de l'espionner. Donc, a part confier son portable à un autre, je ne voie pas trop à quoi peut servir une telle application.
Avatar de Interruption13h Interruption13h - Membre éclairé https://www.developpez.com
le 19/07/2017 à 12:52
J'aime bien le mot de passe
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 21/07/2017 à 18:13
Vault 7 : WikiLeaks dévoile comment Raytheon a aidé la CIA
À développer des malwares supposément inspirés de ceux des Russes et des Chinois

La série Vault 7 consacrée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec un nouveau lot de documents. Ce dernier apporte certains détails sur la coopération entre l’agence et Raytheon – une entreprise américaine qui œuvre dans l’aérospatial et la défense – dans le cadre d’un projet dénommé UMBRAGE Component Library (UCL).

« Les documents ont été fournis à l’agence de LangLey entre le 21 novembre 2014 (juste deux semaines après que Raytheon a racheté Blackbird Technologies) et le 11 septembre 2015. Ils contiennent essentiellement des preuves de concept et des évaluations de vecteurs d’attaques en partie basés sur des documents publics émanant de chercheurs en sécurité et d’entreprises œuvrant dans le domaine de la sécurité », peut-on lire dans la dernière alerte de WikiLeaks qui laisse alors penser que la coopération entre Raytheon et la CIA n’aurait duré qu’une année.

Année pendant laquelle Raytheon a agi comme une sorte de chercheur de technologies pour la Direction de développement à distance – RDB – de la CIA, en analysant des données sur les cyberattaques et en donnant des recommandations aux équipes de la CIA pour une étude approfondie et pour le développement de leurs propres projets, d’après ce qui ressort de l’annonce de WikiLeaks.

Il s’agit donc très probablement de technologies dérobées par Raytheon auprès de chercheurs en sécurité ou d’entreprises du domaine de la cybersécurité. Fait intéressant, dans cette nouvelle publication, les groupes auxquels les documents auraient été dérobés sont clairement nommés.

On apprend ainsi que le premier document apporte des informations sur une variante de HTTPBrowser – un outil d’accès à distance conçu pour enregistrer des frappes au clavier dans les systèmes cibles –, dont l’original est issu d’un groupe chinois nommé Emissary Panda.

Les développements du deuxième document portent eux aussi sur un outil dont l’original a supposément été utilisé par un groupe chinois baptisé Samurai Panda. La version de la CIA permet de détecter les identifiants de proxy pour contourner le pare-feu Windows en s’appuyant sur une faille adobe Flash référencée CVE-2015-5122 et des techniques pour contourner le contrôle des comptes utilisateurs.

Après tout, pourquoi se déranger si l’on peut s’appuyer sur l’existant comme base de travail ? Voilà un questionnement simple auquel une publication du magazine The Intercept – datée du 8 avril 2017 – apporte une excellente réponse.

« Avec UMBRAGE et les projets similaires, la CIA peut non seulement augmenter le nombre total de vecteurs d’attaques dont elle dispose, mais faire porter le chapeau aux groupes auxquels les schémas d’attaque ont été dérobés en inscrivant leur empreinte », déclare WikiLeaks.

Sources : WikiLeaks, The Intercept

Et vous ?

Que pensez-vous de ces dernières révélations de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Offres d'emploi IT
Ingénieur d'affaires h/f
Kacileo - Bourgogne - Dijon (21000)
Administrateur système et réseaux (H/F)
Atos - Lorraine - Metz/Strasbourg
Ingénieur systèmes et bases de données
E ConsultingRH - Nord Pas-de-Calais - Lens (62300)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil