Vault 7 : WikiLeaks dévoile les malwares BothanSpy et Gyrfalcon
Utilisés par la CIA pour pirater des clients SSH sous Windows et Linux

Le , par Patrick Ruiz, Chroniqueur Actualités
WikiLeaks vient de faire d’une pierre deux coups avec la publication des manuels de deux malwares par le biais de la même annonce. Comme dans le cas du précédent de la série – le malware OutlawCountry – nous avons encore affaire à des implants, c’est-à-dire à des logiciels malveillants que l’agence introduit dans les systèmes de ses cibles en tirant parti d’exploit dont elle seule a le secret.

Gyrfalcon, le plus ancien des deux malwares, est un ensemble de scripts Python conçus pour compromettre l’espace d’adressage réservé au client Linux OpenSSH sur les distributions Red Hat, Ubuntu, Suse, Debian et CentOS. Il aurait servi à des agents de la CIA pour intercepter, de façon furtive, le trafic SSH des postes ciblés.

Comme les logiciels malveillants OutlawCountry et ELSA, il est prévu que les données exfiltrées soient sauvegardées sur la machine cible dans des fichiers chiffrés et récupérées lors d’une session de travail dédiée à cet effet par un agent.

Identifiants, mots de passe et autres données sensibles ont ainsi pu tomber aux mains de l’agence depuis 2013 si l’on s’en tient à la date apparaissant sur la documentation liée.

BothanSpy pour sa part repose sur des bibliothèques de liaison dynamique et des scripts Python pour compromettre les sessions du client SSH Windows Xshell.

La particularité avec ce dernier est que l’exfiltration des données peut se faire sans écriture sur un disque de la machine cible, ce qui, logiquement, est la configuration à adopter par un agent qui veut espionner sans laisser de traces. Ce dernier aurait été utilisé par l’agence depuis 2015.

Ces révélations de WikiLeaks viennent démontrer chaque fois un peu plus à quel point les systèmes sur lesquels des personnes physiques et morales se reposent tant sont vulnérables.

Le plus inquiétant est que, si l’on se réfère aux dates sur les documents publiés, la CIA disposerait d’une expertise avérée pour contourner les mécanismes de « sécurité dès la conception » en principe plus renforcés sur Linux en comparaison à Windows.

Avec de récentes statistiques qui montrent qu’il y a une augmentation importante du nombre de logiciels malveillants développés contre les systèmes tournant sous Linux, nul doute que le futur s’annonce riche en révélations supplémentaires.

Sources : Gyrfalcon (PDF), BothanSpy (PDF)

Et vous ?

Que pensez-vous de ces nouvelles révélations de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Shepard Shepard - Membre éprouvé https://www.developpez.com
le 07/07/2017 à 8:50
Citation Envoyé par Aiekick Voir le message
pour moi, les distribs personnalisait la surcouche applicative, ou faisait un choix des technologie connectée au kernel,
mais que tout l'interieur du kernel pour une version donnée était la meme pour toute les distribs.
J'utilise surtout Gentoo Linux, et rien que pour celle-là au moins trois versions (du kernel) sont maintenues:

gentoo-sources : Kernel spécialisé pour Gentoo
vanilla-sources : La version telle que distribuée par l'équipe de Torvalds
hardened-sources : Kernel spécialisé pour les serveurs

Je ne sais pas comment fonctionnent les autres distributions, mais je ne serai pas étonné qu'elles fournissent également des kernels patchés, optimisés pour l'usage qu'elles en font.
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 09/07/2017 à 0:02
Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 17/07/2017 à 16:09
Vault 7 : WikiLeaks dévoile l’application Android HighRise
Supposément utilisée par la CIA pour l’interception et la redirection des SMS

La série Vault 7 de WikiLeaks dédiée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec la publication du manuel d’une application Android malveillante dénommée HighRise.

D’après WikiLeaks, HighRise fonctionne comme un proxy SMS qui permet d’intercepter et rediriger les messages textes entrants et sortants vers des serveurs de la CIA.

Les smartphones qui tournent sur Android 4.0 à 4.3 sont la cible de l’actuelle version du malware dont on suppose qu’elle a été mise à la disposition des agents de la CIA en décembre 2013.

Avant qu’elle ne puisse être exploitée par un agent, l’application nécessite une installation sur le smartphone cible, ce qui suppose que l’agent a accès à ce dernier. Une fois l’application installée, elle apparaît à l’écran sous le nom Tidecheck.


Une activation de l’application est ensuite requise. Elle se fait par un clic sur l’icône Tidecheck suivi de la saisie d’un mot de passe – configuré sur la chaîne de caractères « inshallah » - et la pression sur un bouton d’initialisation.

L’application est dès lors activée et se met à tourner en arrière-plan après un redémarrage du smartphone. Les messages textes entrants et sortants sont alors interceptés et redirigés vers un centre d’écoute de la CIA.

Cette nouvelle publication de WikiLeaks présente également ce que l’on pourrait considérer comme un implant – c’est-à-dire, un logiciel malveillant que l’agence introduit dans un système cible en tirant parti d’un exploit dont elle seule a le secret –comme celles qui la précèdent.

Dans le cas des malwares BothanSpy et Gyrfalcon utilisés pour pirater des clients SSH sous Windows ou Linux, on sait qu’ils sont constitués pour l’un, de bibliothèques de liaison dynamiques et pour l’autre de scripts python qu’un agent doit « introduire » dans le système cible. L’exploit utilisé pour réussir cette introduction n’est cependant pas précisé.

Dans le cas de cette dernière publication, l’introduction du malware requiert un accès au smartphone cible. Tout le problème ici est de savoir comment l’agent arrive à passer outre le verrouillage d’un appareil – dans les cas où il est configuré – qu’il lui faut absolument compromettre.

Voilà autant d’interrogations qui, finalement, laissent toujours un goût d’inachevé après la lecture d’une des publications de WikiLeaks. Les informations manquantes sont probablement passées aux agents par voie orale pour laisser le moins d’informations possible dans les manuels.

Source : HighRise 2.0 (PDF)

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 17/07/2017 à 18:04
Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?
Avatar de kopbuc kopbuc - Membre régulier https://www.developpez.com
le 17/07/2017 à 19:21
Ouais donc en gros du foutage de gueule
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 17/07/2017 à 19:29
J'ai pensé à une autre approche :
"L'application est nécessaire pour les criminels (pour X ou Y raisons). Ils téléchargent le fake de la CIA. Comme c'est une application qui est comme privée, il y a un mot de passe à l'accès. Sur le forum où le gars la récupéré, le mot de passe indiqué dans l'article est donné. Voilà, vous avez déclenché l'espion sans qu'il y ait eu accès au téléphone ".
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 17/07/2017 à 23:27
un malware qui nécessite qu'on entre un code pour l’activer. c'est pas le troll du vendredi ? vous etes sur ?
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 18/07/2017 à 6:04
Pareil pour moi, un code pour le désactiver : J'aurais beaucoup mieux compris.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 18/07/2017 à 14:05
Pourquoi l'activer, il est déjà installé, c'est du foutage de gueule.

J'avais une applic similaire pour espionner mon téléphone, je demandais un mot de passe mais ce n'était pas pour l'activer mais pour accéder à l'interface.
Le programme lui était déjà actif.

Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 18/07/2017 à 14:21
Citation Envoyé par hotcryx Voir le message
...Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Le but, c'était quoi ?

Car moi, mon portable étant toujours avec moi, je ne vois pas l'intérêt de l'espionner. Donc, a part confier son portable à un autre, je ne voie pas trop à quoi peut servir une telle application.
Contacter le responsable de la rubrique Accueil