La menace «Shadow Brokers»

Date : 07 Août 2016

Le week-end du 13 et 14 août 2016, un « groupe » de hackers baptisé « Shadow Brokers » a publié sur Pastebin et GitHub, 2 archives contenant des logiciels espions que la NSA aurait développés. La première archive est en accès libre et la seconde qui contient a priori les « meilleures cyber-armes » n’a pas encore été dévoilée. Cette dernière est mise aux enchères et la somme demandée est de 1 million de bitcoins, soit approximativement 550 millions de dollars.

« Shadow Brokers » aurait récupéré ces codes d’exploitation en piratant le groupe « Equation », nom donné par Kaspersky en 2015 à une organisation réputée proche de la NSA.

D’après le rapport de Kaspersky, et sans jamais citer la NSA, le groupe « Equation » aurait travaillé avec les équipes à l'origine de Flame, Duqu ou encore Stuxnet (ver utilisé contre des centrifugeuses iraniennes d’enrichissement d’uranium) et aurait développé son propre arsenal de logiciels malveillants dont les plus connus sont Fanny et GrayFish. Kaspersky a par ailleurs trouvé des similitudes entre les codes de Fanny et de Stuxnet.

Selon Le Monde, le groupe « Equation » servirait de « boîte à outils » pour la NSA. Pour d’autres experts, « Equation » serait l’unité d’élite de la NSA qui est engagée pour des opérations d’accès sur mesure (Tailored Access Operations - TAO). Il s’agirait pour ces experts, de l’unité qui apparait sur la photo des documents confidentiels révélés par Snowden et publié par Glenn Greenwald.

Enfin, d’après Motherboard, la fuite proviendrait d’un employé isolé de la NSA, une sorte d’Edward Snowden bis. De son côté, Snowden émet quant à lui sur Twitter, l’hypothèse que les services de renseignement russes seraient derrière cette fuite.

Faisant certainement référence au jeu « Mass Effect », « Shadow Brokers » a divulgué une partie des données récoltées. On y trouve des scripts d’installation, des fichiers de configuration ainsi que des logiciels permettant d’exploiter des failles dans des équipements de sécurité réseaux, tels que les pare-feu, de quatre entreprises américaines et de la société chinoise TopSec dont les vulnérabilités datent d'entre 2010 et 2013.

Un résumé de la liste des fichiers appartenant à « Equation » avec les descriptifs associés est accessible en français et en anglais. Ce descriptif permet de faire la différence entre :

  • un outil, qui est un logiciel qui permet de déployer de multiples implants ainsi que des exploits,
  • un implant, qui est un logiciel malveillant installé sur un dispositif compromis,
  • un exploit, qui est une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil. 

Nous listons ci-dessous les différents outils, implants et exploits concernant ces constructeurs et pour lesquels nous avons émis le Danger Potentiel CERT-IST/DG-2016.004 :

  • Cisco (CERT-IST/AV-2016.0790) : EXTRABACON (CVE-2016-6366), EPICBANANA (CVE-2016-6367), JETPLOW, BENIGNCERTAIN,
  • Fortinet (CERT-IST/AV-2016.0791) : EGREGIOUSBLUNDER,
  • Juniper, FEEDTROUGH et ZESTYLEAK,
  • WatchGuard : ESCALATEPLOWMAN.
  • Topsec : ELIGIBLECONTESTANT, ELIGIBLECANDIDATE, ELIGIBLEBOMBSHELL, ELIGIBLEBACHELOR.

De plus, pour mieux suivre l’évolution des menaces liées à la publication de ces codes d’exploitation et aux différents outils de ce hack, nous avons ouvert le blog « Shadow Brokers » dans notre Hub de Crise.

Précedent Précedent Suivant Suivant Imprimer Imprimer

© 2024 Cert-IST