ShadowBrokers : le groupe publie le manuel d'UNITEDRAKE
Un outil de collecte des données extirpé de l'arsenal de la NSA

Le , par Patrick Ruiz, Chroniqueur Actualités
Ça faisait un moment qu’on n’a plus entendu parler des ShadowBrokers, le célèbre groupe de cybercriminels à l’origine de la divulgation de l’exploit EternalBlue, utilisé par les créateurs du célèbre rançongiciel Wannacry. Le groupe a refait surface avec la publication du manuel d’UNITEDRAKE, ce, dans le cadre du service mensuel qu’il réserve à ses abonnés, service qui va d’ailleurs connaître quelques réaménagements quant au nombre d’exploits divulgués toutes les quatre semaines.

UNITEDRAKE est un implant, c’est-à-dire qu’il faut qu’un agent ait accès à une machine cible pour installer la partie client de l’outil de collecte de données, laquelle, est chargée de communiquer avec la partie serveur ou poste d’écoute. Une fois la mise en place effectuée, l’agent a un accès furtif (le client tourne sur la machine cible comme un service) à une panoplie de périphériques sur la machine cible : webcam, microphone, clavier (saisies), disques durs, etc. Ces opérations sont possibles sur des PC tournant sous Windows XP, 7 SP1, 8, Server 2003, 2008 et 2012.


Si la publication du manuel intervient maintenant via les ShadowBrokers, il faudrait souligner qu’il s’agit d’un outil dont l’existence a fuité via des archives publiées par Edward Snowden et relayées par plusieurs médias en 2014. S’il a été fait mention de ce qu’il faut un accès à la machine cible pour installer la partie client de l’outil, il faudrait bien noter qu’il ne s’agit pas forcément d’un accès physique.

En 2014, le magazine The intercept fait un commentaire révélateur de la pose des implants : « dans certains cas, la NSA s’est fait passer pour Facebook [via un faux serveur] utilisant le réseau social comme une rampe de lancement pour infecter des ordinateurs et exfiltrer les données de disques durs. Dans d’autres cas, elle a procédé à l’envoi de courriels contenant des logiciels malicieux destinés à enregistrer furtivement l’audio en provenance d’un microphone et prendre des photos via une webcam. »

Ça fait deux ans que les experts en sécurité de Kaspersky Lab ont confirmé cet implant comme étant authentique. Ils le classent d’ailleurs dans une suite d’outils baptisée EquationLaser, laquelle, serait même utilisée par la NSA depuis 1996.

Sources : itnews, Manuel (PDF), The Intercept

Et vous ?

Que pensez-vous de cette nouvelle publication des ShadowBrokers ?

Voir aussi :

Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publiée avec les descriptifs associés
Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA ont été mis en ligne


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 12/09/2017 à 9:41
Ouf ! Ça ne fonctionne pas sous Windows 10. :-)

Voilà qui fera sans doute taire les mauvaises langues qui refusent de faire la mise à jour sous prétexte de protection de la vie privée !
Avatar de sami_c sami_c - Membre actif https://www.developpez.com
le 12/09/2017 à 12:09
Citation Envoyé par Shepard Voir le message
Ouf ! Ça ne fonctionne pas sous Windows 10. :-)

Voilà qui fera sans doute taire les mauvaises langues qui refusent de faire la mise à jour sous prétexte de protection de la vie privée !
Moi je dirais que ça encourage de laisser tomber windows et passer sous Ubuntu par exemple !
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 12/09/2017 à 14:46
Ça ne fonctionne pas sous Windows 10
Je ne vois pas pourquoi ça ne fonctionnerait pas sous Windows 10, cela n'utilise aucune faille de sécurité. C'est juste que les documents datent d'avant la sortie de Windows 10. Depuis il a du être mis a jour...
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 12/09/2017 à 15:10
Citation Envoyé par sami_c Voir le message
Moi je dirais que ça encourage de laisser tomber windows et passer sous Ubuntu par exemple !
Citation Envoyé par abriotde Voir le message
Je ne vois pas pourquoi ça ne fonctionnerait pas sous Windows 10, cela n'utilise aucune faille de sécurité. C'est juste que les documents datent d'avant la sortie de Windows 10. Depuis il a du être mis a jour...
C'était de l'ironie, j'ai peut-être été trop subtil ^^

Je n'utilises que Linux (Gentoo pour bosser, Mint pour jouer), et c'est W10 qui m'a incité à franchir le pas du "plus de Windows du tout" :-)
Offres d'emploi IT
Responsable Developpement Informatique
Cabinet de recrutement Valeurs&Valeur - Nord Pas-de-Calais - Roubaix (59100)
Formation Développeur Logiciel
AFPA - Nord Pas-de-Calais - Lomme (59160)
Développeur android h/f
Picomto - Nord Pas-de-Calais - Lille (59000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil