Vault 7 : WikiLeaks dévoile l'outil CouchPotato
Supposément utilisé par la CIA pour capturer furtivement du flux vidéo H.264

Le , par Patrick Ruiz, Chroniqueur Actualités
WikiLeaks poursuit sa série Vault 7 consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre avec la publication d’un nouveau manuel. Il s’agit de celui de l’outil dénommé CouchPotato, supposément utilisé par la CIA, pour la capture à distance de flux encodé en H.264 via le protocole RTSP.

Cette documentation dévoile une nouvelle fois un implant. Celui-ci est, semble-t-il, assez récent en comparaison de ceux qui l’ont précédé puisque le document descriptif date du 14 février 2014. L’implant est architecturé autour d’une bibliothèque de liaison dynamique (ICE.dll), ce qui signifie qu’il est conçu pour capturer les flux vidéo sur des systèmes tournant sous Windows.

Le déploiement de l’implant sur une machine cible consiste en son injection dans l’espace mémoire d’un processus non critique du système cible à l’aide d’un outil de chargement dédié. La bibliothèque de liaison dynamique (ICE.dll) ne serait qu’un codec qu’il faut complémenter avec un gestionnaire de modules. La documentation souligne que l’injection en mémoire doit être précédée de l’installation du gestionnaire via un script Python conçu à cet effet.

L’implant est capable de convertir le flux vidéo en provenance d’une caméra en AVI ou en JPG. Le gestionnaire serait alors chargé de récupérer ces données et de les écrire dans un fichier sur le disque dur de l’ordinateur cible. La procédure parle d’elle-même. Pour tirer avantage de cet outil, un agent doit avoir un accès (direct ou distant) à l’ordinateur cible pour pouvoir effectuer toutes ces configurations.

L’implant est conçu pour permettre une opération furtive, mais exhibe des défauts qui peuvent dévoiler l’activité d’un attaquant. La documentation fait état de ce que le processus parasité par l’implant consomme 50 à 60 % du temps processeur.

Source : guide utilisateur de l’implant

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Des chercheurs exploitent le clignotement des DEL d'un routeur pour pirater ses données, ce procédé s'avère plus efficace que les techniques usuelles
Le clignotement d'un disque dur peut être utilisé pour dérober des données sensibles, des universitaires israéliens le mettent en évidence


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 24/08/2017 à 15:29
Vault 7 : WikiLeaks dévoile ExpressLane
Un outil supposément utilisé par la CIA contre des services de liaison (FBI, NSA, etc.)

Aujourd’hui, arrêt oblige sur la série Vault 7 de WikiLeaks consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre. L’actualité WikiLeaks le suggère et cette fois le contenu est au moins, sinon plus digne d’intérêt que dans le cadre des autres parutions. L’organisation fondée par Julian Assange vient en effet de dévoiler un outil supposément utilisé par la CIA pour espionner des services de liaison au rang desquels on compte : le FBI, le DHS et la NSA.

Les contenus publiés nous apprennent que la CIA dispose d’une branche spéciale (OTS) qui maintient une plateforme de collecte de données biométriques mise à la disposition des services de liaison à travers le monde. La plateforme serait destinée au partage « volontaire » de ces données biométriques entre la CIA et les services de liaison, ce qui n’a pas lieu. C’est là où intervient l’outil ExpressLane au centre des développements de ce jour.

« ExpressLane est un outil furtif de collecte d’informations utilisé par la CIA pour exfiltrer des données de ces systèmes mis à la disposition des services de liaison », explique WikiLeaks qui ajoute que « ExpressLane est installé et lancé sous le prétexte d’une mise à jour du logiciel de collecte de données biométriques par un agent de l’OTS en visite sur lesdits sites. Les agents de liaison témoins de la procédure n’y verront que du feu puisque l’exfiltration des données est masquée par un écran d’installation Windows. »

La procédure d’installation mène à la présence d’un exécutable dénommé MOBSLangSvc (l’exécutable d’ExpressLane) dans le répertoire \windows\system32. L’exfiltration des données se fait via la clé USB qui sert à l’installation (ou plus exactement, à la mise à jour). Cette dernière contient une partition spécialement préparée (par l’outil CreatePartition sur l’image ci-dessous) pour être détectée par ExpressLane dès son insertion sur la machine cible.


Les données exfiltrées sont sauvegardées dans la partition spéciale sous forme chiffrée et il faut qu’un agent de la CIA use d’un autre outil (Exit Ramp 3.0 sur l’image ci-dessous) pour les déchiffrer et les sauvegarder une fois de retour à la base.


Cette nouvelle publication de WikiLeaks vient rappeler un principe désormais important de l’univers de la cybersécurité, faire attention aux clés USB introduites par des tiers sur son système. Maintenant, comment se comporte un agent des services de liaison si la procédure ne prévoit pas une vérification du matériel détenu par l’agent de l’OTS ?

Quand bien même la procédure le prévoirait, dispose-t-il des bons outils pour savoir ce que la clé renferme comme charge malicieuse ? Des questions qu’on est en droit de se poser même s’il faut se rappeler qu’il s’agit de stratagèmes supposément mis en œuvre par la CIA
.
Source : WikiLeaks

Et vous ?

Qu’en pensez-vous ?

Voir aussi :


La fuite de Wikileaks montre que le chiffrement de données fonctionne rendant la tâche plus difficile aux agences d'espionnage
WikiLeaks va partager le code de la CIA avec les entreprises IT quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger
Avatar de Tartare2240 Tartare2240 - Membre actif https://www.developpez.com
le 24/08/2017 à 16:29
Donc, si j'ai bien compris, la CIA, donc agence gouvernementale américaine, espionne le FBI, autre agence gouvernementale américaine...

...ces idiots sévères n'ont pas assez d'ennemis à l'extérieur pour devoir espionner leurs propres agences !??
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 25/08/2017 à 7:41
@Tartare2240
Les intérêts de la CIA ne sont pas les même que ceux des autres agences vus que une partie de leurs opérations vont à l'encontre du bien commun en infiltrant des organisation mafieuses pour engranger du fric
Avatar de fenkys fenkys - Membre éprouvé https://www.developpez.com
le 28/08/2017 à 11:53
La NSA espionnée ? Il n'y a que moi que cette information amuse ?
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 28/08/2017 à 12:18
Il y a aussi moi, mais je suis bien persuadé que la NSA, de son côté, a tout ce qu'il faut pour espionner le FBI et la CIA. Ne somment nous pas dans le pays des libertés, celui dans lequel n'importe quel fou peut acheter n'importe quelle arme pour faire n'importe quoi n'importe quand ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 31/08/2017 à 23:23
Vault 7 : WikiLeaks dévoile le projet Angelfire, utilisé par la CIA pour compromettre les systèmes Windows XP et 7
en ciblant le secteur de démarrage

WikiLeaks a révélé un autre projet secret de la CIA que l’agence a utilisé pour compromettre les systèmes Windows, cette fois ciblant le secteur de démarrage du système d'exploitation afin de permettre de déployer plus de charges utiles.

Baptisé Angelfire, la boîte à outils cible Windows XP et Windows 7 et se compose de cinq éléments qui travaillent de concert pour compromettre un système.

Tout d'abord vient Solartime, l’outil dont l’objectif est de modifier le secteur de démarrage pour exécuter un second module appelé Wolfcreek à chaque fois que le système démarre.

Wolfcreek quant à lui est un pilote autochargeur (code kernel que Solartime exécute) qui charge d'autres pilotes et des applications en mode utilisateur.

Le troisième composant s'appelle Keystone dont la CIA a eu spécialement recours étant donné qu’il a permis aux agents de déployer des logiciels malveillants supplémentaires sur les systèmes infectés. C'est une partie de l'implant de Wolfcreek qui exploite l'injection DLL pour exécuter les applications utilisateur malveillantes directement dans la mémoire système sans les laisser dans le système de fichiers. Il est responsable du démarrage des applications utilisateur malveillantes.

Le quatrième composant baptisé BadMFS est une bibliothèque utilisée pour créer un système de fichiers cachés à la fin de la partition activée (ou dans un fichier sur disque dans les versions ultérieures). Il est utilisé comme un dépôt pour les conducteurs et les implants que Wolfcreek va lancer. Tous les fichiers sont à la fois chiffrés et obscurcis.

Et le dernier est le système de fichiers transitoires Windows, WikiLeaks a expliqué qu’il a été développé comme une alternative à BadMFS. Son objectif est d'utiliser des fichiers temporaires au lieu de compter sur un système de fichiers qui stocke localement des informations.

Problèmes connus

WikiLeaks explique que malgré les composants complexes inclus dans Angelfire, les outils de piratage pourraient être facilement découverts, en raison d'une série de problèmes que même la CIA a reconnus dans les manuels qui ont fuité.

Par exemple, Keystone s'est déguisée en copie de svchost.exe et se trouvait toujours dans C: \ Windows \ system32, donc si le système d'exploitation était installé sur une partition ou un emplacement différent, le processus aurait pu déclencher une analyse plus poussée.

En outre, le système de fichiers BadMFS a créé un fichier appelé ZF que les utilisateurs ont pu rencontrer lorsqu'ils travaillent sur leur système. Et enfin, la CIA prévient qu'un plantage potentiel de l'un des composants susmentionnés aurait déclenché des notifications visibles.

Angelfire a été spécialement conçu pour Windows 7 et Windows XP, le projet ayant été développé avant les débuts de Windows 8 en 2012.

Ci-dessous la liste des publications de Wikileaks depuis mars :
  • AngelFire - 31 août 2017
  • ExpressLane - 24 août 2017
  • Couchpotato - 10 août 2017
  • Dumbo - 3 août 2017
  • Imperial - 27 juillet 2017
  • UCL / RAYTHEON - 19 juillet 2017
  • HighRise - 13 juillet 2017
  • BothanSpy et Gyrfalcon - 06 juillet 2017
  • OutlawCountry - 30 juin, 2017
  • Malware ELSA - 28 juin 2017
  • Cherry Blossom - 15 juin 2017
  • Pandemic - 1er juin 2017
  • Athena - 19 mai 2017
  • AfterMidnight - 12 mai 2017
  • Archimedes - 5 mai 2017
  • Scribbles - 28 avril 2017
  • Weeping Angel - 21 avril 2017
  • Ruche - 14 avril 2017
  • Grasshopper - 7 avril 2017
  • Marble Framework - 31 mars 2017
  • Dark Matter - 23 mars 2017

Source : WikiLeaks
Avatar de arond arond - Membre expérimenté https://www.developpez.com
le 01/09/2017 à 9:41
Les ricains se font plaisir avec les noms quand même "Angelfire" a quand l'exploit "DesertStorm" ?
Avatar de Grogro Grogro - Membre extrêmement actif https://www.developpez.com
le 05/09/2017 à 14:43
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
Avatar de domi65 domi65 - Membre averti https://www.developpez.com
le 07/09/2017 à 11:23
@Grogro
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
Soyons pragmatique : Le Piratage, quel qu'il soit, c'est le Kremlin.
Tout ce qui n'entre pas en résonance avec cet axiome est automatiquement rejeté par les bots.
Avatar de arond arond - Membre expérimenté https://www.developpez.com
le 07/09/2017 à 11:31
Citation Envoyé par Grogro Voir le message
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
Plus sérieusement que mon VDD (même si pas tout a fait faux). C'est parce que c'est tout simplement pas assez flashi.
De plus le quidam lambda (Mme Michu et Mr Michu) tu leur dis LAN ils te répondront "qu'est ce que c'est kse truc ?" tu leur parlera de Windows XP ou 7 ils te diront : "Quoi ya encore des gens sur ces vieux truc ? C'est leur faute si ils se font hacké ils ont qu'a aller sous Windows 10 c'est nouveau donc c'est plus sur" et pour finir parle leur "d'injection DLL" et tu devras leur faire un exposé de 2 Heures sur ce qu'est un DLL.

(PS : Je ne sous entends pas que les gens sont cons justes qu'ils ne s'y intéressent pas )
Contacter le responsable de la rubrique Accueil