Vault 7 : WikiLeaks dévoile AfterMidnight et Assassin, deux outils de la CIA voleurs d'informations

Vault 7 : WikiLeaks dévoile AfterMidnight et Assassin, deux outils de la CIA voleurs d’informations

Bientôt sur vos écrans, ou pas

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

16/05/2017 6 minutes
23

Vault 7 : WikiLeaks dévoile AfterMidnight et Assassin, deux outils de la CIA voleurs d'informations

Après un week-end sous haute tension à cause du ransomware WannaCrypt, Wikileaks en remet une couche avec de nouvelles fuites sur les outils de la CIA. Dans le collimateur cette fois, AfterMidnight et Assassin, deux infrastructures permettant la prise de contrôle et le déploiement de malwares.

L’actualité de la sécurité est particulièrement riche actuellement, avec les révélations successives et hebdomadaires de Wikileaks sur les petits secrets de la CIA, dans une série de documents nommée « Vault 7 ». Les activités des agences de renseignement, largement pointées du doigt ces dernières années, trouvent un écho particulier depuis ce week-end à cause de WannaCrypt, un ransomware basé sur des outils dérobés à la NSA et publiés le mois dernier par les pirates de Shadow Brokers.

Dans le cas des fuites de Wikileaks, la situation est un peu différente, puisque l’organisation publie le plus souvent les documents et guides d’utilisation, non le code lui-même. Ce qui ne l’empêche de récidiver après Weeping Angel, Dark Matter, Marble ou encore Grasshopper. Cette fois, elle se penche sur deux frameworks que les agents de la CIA peuvent utiliser pour piloter à distance des machines spécifiquement attaquées.

Après minuit, quand vient la surveillance

Le premier se nomme AfterMidnight. Il s’agit d’une plateforme complète et modulaire d’espionnage pour les opérations de surveillance de la CIA. Rappelons à ce sujet que l’agence se focalise sur des cibles précises à l’étranger (en théorie), non sur la collecte de masse façon NSA, que cette dernière a encore récemment admise.

AfterMidnight est constitué de plusieurs composants, dont le principal est une DLL (Dynamic-Link Library) Windows, conçue pour rester en place. Le guide d’utilisation est riche d’enseignements à son sujet. On sait ainsi que cette DLL a pour mission de charger et exécuter des « Gremlins », en fait de mini-malwares aux tâches bien précises, qui vont de la surveillance d’aspects particuliers de la machine visée à la fourniture de services à d’autres Gremlins.

Le framework contient en outre un système Listening Post appelé Octopus, en fait un serveur Apache avec lequel communiquent les Gremlins en HTTPS. Ce serveur est de type « Command & Control » (C&C), dans la mesure où il sert de relais pour transmettre les ordres. Les Gremlins vérifient ainsi leur connectivité avec Octopus à intervalles réguliers, pour récupérer d’éventuelles tâches en attente.

aftermidnight

S’ils en trouvent, tous les composants nécessaires sont téléchargés et stockés localement sur la machine infectée. Tous ces éléments sont chiffrés avec une clé qui, elle, est uniquement en possession des agents et n’est donc pas enregistrée sur l’ordinateur.

AfterMidnight est hautement modulaire et semble pouvoir s’adapter à de nombreuses situations. Le guide d’utilisation permet de planifier une opération complète en apprenant aux agents comment paramétrer AfterMidnight, planifier des tâches, définir les Gremlins à charger, comment les déployer, modifier les réglages, disparaître d’une machine, etc.

L’ensemble du framework est quoi qu’il en soit tourné vers la surveillance d’activité et la récupération. AfterMidnight semble avoir été conçu pour être l’équivalent d’une écoute téléphonique pour un ordinateur.

Assassin, le crédo de la CIA

L’autre framework, Assassin, a globalement les mêmes ambitions qu’AfterMidnight, mais ne procède pas de la même manière.

Là encore, le guide est particulièrement clair. Assassin est ainsi constitué de quatre briques élémentaires. L’implant est ainsi le composant placé sur la machine à surveiller et fournit « les fonctionnalités et la logique centrales ». Il est obligatoirement constitué d’un exécutable, et peut être accompagné par un second, dédié au déploiement. Les deux sont bâtis pour la deuxième brique, le Builder qui sert, comme son nom l’indique, à construire l’attaque. D’après le guide, on trouve même un assistant (Wizard) pour aider l’opérateur pendant le processus.

Les deux autres composants sont le sous-système C&C et le Listening Post, ce dernier servant encore une fois de relais. Il agit comme une balise que l’implant pourra vérifier selon un rythme défini afin d’y récupérer une éventuelle liste de tâches.

Dans les grandes lignes, la finalité d’Assassin est la même que pour AfterMidnight : dérober des informations. Le framework adopte par contre une technique différente, passant par un exécutable (32 ou 64 bits) pouvant enregistrer un ou plusieurs services Windows sur le PC.  

Dans une autre présentation, a priori fournie à des fins d’apprentissage en « classe », on peut voir à partir de la page 10 comment les opérateurs peuvent utiliser Assassin. On trouve notamment la conception des lots de commandes (batch), l’exportation des données vers des fichiers XML, la récupération ou l’installation d’un fichier particulier dans l’unité de stockage, etc.

La simple suite des fuites précédentes

AfterMidnight et Assassin sont tous deux des exemples parfaits des activités de la CIA. Des outils très probablement situationnels qui seront utilisés non pas de manière systématique, mais bien en fonction des paramètres d’une mission.

Les deux frameworks poursuivent des objectifs similaires et les documents n’indiquent pas ce qui les différencie véritablement, en dehors de leurs approches techniques différentes. On peut raisonnablement estimer que ce sont justement ces différences qui permettent de choisir l’une ou l’autre en fonction des tâches à accomplir, en tenant compte par exemple des caractéristiques de la machine à infecter.

Il n’est pas impossible en outre qu’AfterMidnight et Assassin aient tous deux besoin d’une faille à exploiter pour entrer dans les ordinateurs ciblés, ou d’un accès physique, cette seconde approche étant la plus courante dans les outils vus jusqu’ici. Dans le premier cas cependant, on se retrouverait encore une fois devant le délicat sujet du stockage des failles, que Microsoft a violemment critiqué ce week-end, suite à la vague de problèmes engendrés par WannaCrypt.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Après minuit, quand vient la surveillance

Assassin, le crédo de la CIA

La simple suite des fuites précédentes

Commentaires (23)


Microsoft a plus qu’a patcher ça, mais aux labos de la CIA/NSA ça y va niveau exploits/surveillance !


A la place de la CIA, j’aurais renommé Assassin en SleepingCell.



Par contre j’aime bien AfterMidnight/Gremlins… (Don’t feed the gremlins after midnight). <img data-src=" />



Pas sur que y’ait quoique ce soit à patcher là, comme dit dans l’article.

Ces outils se contentent d’executer des choses avec les droits de l’utilisateur qui est en général administrateur de son poste perso, d’où le besoin d’accès physique ou de trouver une faille pour livrer le contenu.


Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry


Idem, j’aimbe bien afterMidnight/gremlins. <img data-src=" />



Bon sauf qu’en général en dehors de guismo les gremlins c’est plus là pour foutre la merde qu’être discret. <img data-src=" />

Ils semblent pas être membre du CCC visiblement vu qu’ils ont copié les CC. <img data-src=" /> (Comité des Chats pour la référence)


#Les adminsys vont encore bosser jusqu’à pas d’heure le week end pour pousser en urgence des patchs de secu. :(








wagaf a écrit :



Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry







Et comme tout média qui se respecte, on ne parlera surtout pas de la trousse à outil de la NSA qui à permis la réalisation de WannaCry, on préférera se contenter de parler des méchants de Corée du Nord ^^









wagaf a écrit :



Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry







Ca ne permet pas vraiment de “concevoir” un malware.

C’est plutôt une plateforme d’exécution de malware.






Au mieux on parlera du méchant groupe Shadow Brokers qui a vole les “outils” de la NSA.


Que les services secrets aient ce type d’outil semble logique et ils ne s’en servent pas pour diffuser des ransomware dans les hôpitaux.



Pour moi la responsabilité revient à ceux qui ont diffusé publiquement le code dans l’unique but de “faire chier” les Américains (trololol) sans se responsabiliser face aux conséquences potentielles.



Si l’objectif était de dénoncer des méthodes de la NSA ou un truc dans l’intérêt du public, la diffusion du code complet n’était pas nécessaire.










wagaf a écrit :



Que les services secrets aient ce type d’outil semble logique et ils ne s’en servent pas pour diffuser des ransomware dans les hôpitaux.



Pour moi la responsabilité reviens à ceux qui ont diffusé publiquement le code dans l’unique but de “faire chier” les Américains (trololol) sans se responsabiliser face aux conséquences potentielles.



Si l’objectif était de dénoncer des méthodes de la NSA ou un truc dans l’intérêt du public, la diffusion du code complet n’était pas nécessaire.







Garder pour soit des failles aussi dangereuse est tout sauf logique et encore moins responsable. Si les services secrets avaient communiqué ces failles aux éditeurs, au lieu de les garder pour eux, la situation serait bien différente.



Ce comportement de WikiLeaks en plein WannaCry ne va pas leur faire d’amis….



Mais bon ça fait un moment que de chevalier blanc WikiLeaks prends des allures de suppôt du Kremlin. Jamais de révélations sur le FSB, toujours sur la CIA ….


Supposons que des enemi des US volent un stock de leurs nouvelles armes secrètes et décident de les distribuer gratuitement à l’entrée du marché..



Si des groupes criminels s’en servent alors contre la population la responsabilité revient à ceux qui ont distribué ces armes à n’importe qui au lieu de par ex. communiquer à ce sujet et dénoncer leur existence, ou de les garder pour eux.








wagaf a écrit :



Supposons que des enemi des US volent un stock de leurs nouvelles armes secrètes et décident de les distribuer gratuitement à l’entrée du marché..



Si des groupes criminels s’en servent alors contre la population la responsabilité revient à ceux qui ont distribué ces armes à n’importe qui au lieu de par ex. communiquer à ce sujet et dénoncer leur existence, ou de les garder pour eux.







Le rapport avec la choucroute ?



On est dans le cas d’un produit grand public utilisé par énormément de gens. Le fait pour un gouvernement de ne pas révéler de failles permettant la propagation de vers, montre que le dit gouvernement n’agit pas pour le bien de sa population.



Une comparaison plus juste serait :




  • la NSA à connaissance d’une faille dans les voitures Tesla qui permet de prendre le contrôle à distance du véhicule.

  • la NSA utilise cette faille via un outil spécifique dans le but de lutter contre le terrorisme.

  • un groupe de pirates dérobe cet outil et conçoit un malware pour provoquer des accidents.


Il est connu et reconnu que les services secret américains n’agissent que dans leurs propres intérêts…








wagaf a écrit :



Si l’objectif était de dénoncer des méthodes de la NSA ou un truc dans l’intérêt du public, la diffusion du code complet n’était pas nécessaire.



Franchement, quand tu vois la différence médiatique entre l’annonce des shadowbrokers et celle sur wanacry, on ne peut vraiment pas dire que c’était inutile. Maintenant il y a des répercutions c’est dommage, mais dire que ce n’était pas nécessaire, bof…



Leum a écrit :



Ce comportement de WikiLeaks en plein WannaCry ne va pas leur faire d’amis….



Mais bon ça fait un moment que de chevalier blanc WikiLeaks prends des allures de suppôt du Kremlin. Jamais de révélations sur le FSB, toujours sur la CIA ….





C’est clair, c’est vraiment dommage que wikileaks tape pratiquement exclusivement sur les USA.&nbsp;



“Dans le cas des fuites de Wikileaks, la situation est un peu différente,

puisque l’organisation publie le plus souvent&nbsp;les documents et guides

d’utilisation, non le code lui-même.”



Wikileaks ne publie pas le code source mais uniquement les documents et guides d’utilisations. C’est écrit dans l’article.








wagaf a écrit :



Que les services secrets aient ce type d’outil semble logique et ils ne s’en servent pas pour diffuser des ransomware dans les hôpitaux.



&nbsp;

ça, tu n’en sais rien.

&nbsp;

Stuxnet n’est pas apparu automagiquement sur les centrifugeuse iranienne, il a contaminé d’autres trucs avant. Et on parle d’une opération ciblée. Donc une opération de récupération d’information de grande envergue par la nsa (par exemple en attaquant le codes des routeurs juniper et cisco) ….



On t’attend, donne tes informations sur le Kremlin <img data-src=" />


Idem, on attend tes infos sur le FSB <img data-src=" />


Oui enfin c’est la 8e semaine consécutive, et ils avaient prévenu que les nouvelles informations arriveraient sur un rythme hebdomadaire.


S’ils ont les infos de la CIA, je vois pas en quoi chopper des infos du FSB serait plus difficile.&nbsp;