ShadowBrokers : le groupe publie le manuel d'UNITEDRAKE

Un outil de collecte des données extirpé de l'arsenal de la NSA

Ça faisait un moment qu’on n’a plus entendu parler des ShadowBrokers, le célèbre groupe de cybercriminels à l’origine de la divulgation de l’exploit EternalBlue, utilisé par les créateurs du célèbre rançongiciel Wannacry. Le groupe a refait surface avec la publication du manuel d’UNITEDRAKE, ce, dans le cadre du service mensuel qu’il réserve à ses abonnés, service qui va d’ailleurs connaître quelques réaménagements quant au nombre d’exploits divulgués toutes les quatre semaines.

UNITEDRAKE est un implant, c’est-à-dire qu’il faut qu’un agent ait accès à une machine cible pour installer la partie client de l’outil de collecte de données, laquelle, est chargée de communiquer avec la partie serveur ou poste d’écoute. Une fois la mise en place effectuée, l’agent a un accès furtif (le client tourne sur la machine cible comme un service) à une panoplie de périphériques sur la machine cible : webcam, microphone, clavier (saisies), disques durs, etc. Ces opérations sont possibles sur des PC tournant sous Windows XP, 7 SP1, 8, Server 2003, 2008 et 2012.


Si la publication du manuel intervient maintenant via les ShadowBrokers, il faudrait souligner qu’il s’agit d’un outil dont l’existence a fuité via des archives publiées par Edward Snowden et relayées par plusieurs médias en 2014. S’il a été fait mention de ce qu’il faut un accès à la machine cible pour installer la partie client de l’outil, il faudrait bien noter qu’il ne s’agit pas forcément d’un accès physique.

En 2014, le magazine The intercept fait un commentaire révélateur de la pose des implants : « dans certains cas, la NSA s’est fait passer pour Facebook [via un faux serveur] utilisant le réseau social comme une rampe de lancement pour infecter des ordinateurs et exfiltrer les données de disques durs. Dans d’autres cas, elle a procédé à l’envoi de courriels contenant des logiciels malicieux destinés à enregistrer furtivement l’audio en provenance d’un microphone et prendre des photos via une webcam. »

Ça fait deux ans que les experts en sécurité de Kaspersky Lab ont confirmé cet implant comme étant authentique. Ils le classent d’ailleurs dans une suite d’outils baptisée EquationLaser, laquelle, serait même utilisée par la NSA depuis 1996.

Sources : itnews, Manuel (PDF), The Intercept

Et vous ?

Que pensez-vous de cette nouvelle publication des ShadowBrokers ?

Voir aussi :

Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publiée avec les descriptifs associés
Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA ont été mis en ligne