Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Vault 7 : WikiLeaks dévoile AfterMidnight et Assassin, deux outils de la CIA voleurs d'informations

Bientôt sur vos écrans, ou pas
Internet 5 min
Vault 7 : WikiLeaks dévoile AfterMidnight et Assassin, deux outils de la CIA voleurs d'informations
Crédits : RonBailey/iStock

Après un week-end sous haute tension à cause du ransomware WannaCrypt, Wikileaks en remet une couche avec de nouvelles fuites sur les outils de la CIA. Dans le collimateur cette fois, AfterMidnight et Assassin, deux infrastructures permettant la prise de contrôle et le déploiement de malwares.

L’actualité de la sécurité est particulièrement riche actuellement, avec les révélations successives et hebdomadaires de Wikileaks sur les petits secrets de la CIA, dans une série de documents nommée « Vault 7 ». Les activités des agences de renseignement, largement pointées du doigt ces dernières années, trouvent un écho particulier depuis ce week-end à cause de WannaCrypt, un ransomware basé sur des outils dérobés à la NSA et publiés le mois dernier par les pirates de Shadow Brokers.

Dans le cas des fuites de Wikileaks, la situation est un peu différente, puisque l’organisation publie le plus souvent les documents et guides d’utilisation, non le code lui-même. Ce qui ne l’empêche de récidiver après Weeping Angel, Dark Matter, Marble ou encore Grasshopper. Cette fois, elle se penche sur deux frameworks que les agents de la CIA peuvent utiliser pour piloter à distance des machines spécifiquement attaquées.

Après minuit, quand vient la surveillance

Le premier se nomme AfterMidnight. Il s’agit d’une plateforme complète et modulaire d’espionnage pour les opérations de surveillance de la CIA. Rappelons à ce sujet que l’agence se focalise sur des cibles précises à l’étranger (en théorie), non sur la collecte de masse façon NSA, que cette dernière a encore récemment admise.

AfterMidnight est constitué de plusieurs composants, dont le principal est une DLL (Dynamic-Link Library) Windows, conçue pour rester en place. Le guide d’utilisation est riche d’enseignements à son sujet. On sait ainsi que cette DLL a pour mission de charger et exécuter des « Gremlins », en fait de mini-malwares aux tâches bien précises, qui vont de la surveillance d’aspects particuliers de la machine visée à la fourniture de services à d’autres Gremlins.

Le framework contient en outre un système Listening Post appelé Octopus, en fait un serveur Apache avec lequel communiquent les Gremlins en HTTPS. Ce serveur est de type « Command & Control » (C&C), dans la mesure où il sert de relais pour transmettre les ordres. Les Gremlins vérifient ainsi leur connectivité avec Octopus à intervalles réguliers, pour récupérer d’éventuelles tâches en attente.

aftermidnight

S’ils en trouvent, tous les composants nécessaires sont téléchargés et stockés localement sur la machine infectée. Tous ces éléments sont chiffrés avec une clé qui, elle, est uniquement en possession des agents et n’est donc pas enregistrée sur l’ordinateur.

AfterMidnight est hautement modulaire et semble pouvoir s’adapter à de nombreuses situations. Le guide d’utilisation permet de planifier une opération complète en apprenant aux agents comment paramétrer AfterMidnight, planifier des tâches, définir les Gremlins à charger, comment les déployer, modifier les réglages, disparaître d’une machine, etc.

L’ensemble du framework est quoi qu’il en soit tourné vers la surveillance d’activité et la récupération. AfterMidnight semble avoir été conçu pour être l’équivalent d’une écoute téléphonique pour un ordinateur.

Assassin, le crédo de la CIA

L’autre framework, Assassin, a globalement les mêmes ambitions qu’AfterMidnight, mais ne procède pas de la même manière.

Là encore, le guide est particulièrement clair. Assassin est ainsi constitué de quatre briques élémentaires. L’implant est ainsi le composant placé sur la machine à surveiller et fournit « les fonctionnalités et la logique centrales ». Il est obligatoirement constitué d’un exécutable, et peut être accompagné par un second, dédié au déploiement. Les deux sont bâtis pour la deuxième brique, le Builder qui sert, comme son nom l’indique, à construire l’attaque. D’après le guide, on trouve même un assistant (Wizard) pour aider l’opérateur pendant le processus.

Les deux autres composants sont le sous-système C&C et le Listening Post, ce dernier servant encore une fois de relais. Il agit comme une balise que l’implant pourra vérifier selon un rythme défini afin d’y récupérer une éventuelle liste de tâches.

Dans les grandes lignes, la finalité d’Assassin est la même que pour AfterMidnight : dérober des informations. Le framework adopte par contre une technique différente, passant par un exécutable (32 ou 64 bits) pouvant enregistrer un ou plusieurs services Windows sur le PC.  

Dans une autre présentation, a priori fournie à des fins d’apprentissage en « classe », on peut voir à partir de la page 10 comment les opérateurs peuvent utiliser Assassin. On trouve notamment la conception des lots de commandes (batch), l’exportation des données vers des fichiers XML, la récupération ou l’installation d’un fichier particulier dans l’unité de stockage, etc.

La simple suite des fuites précédentes

AfterMidnight et Assassin sont tous deux des exemples parfaits des activités de la CIA. Des outils très probablement situationnels qui seront utilisés non pas de manière systématique, mais bien en fonction des paramètres d’une mission.

Les deux frameworks poursuivent des objectifs similaires et les documents n’indiquent pas ce qui les différencie véritablement, en dehors de leurs approches techniques différentes. On peut raisonnablement estimer que ce sont justement ces différences qui permettent de choisir l’une ou l’autre en fonction des tâches à accomplir, en tenant compte par exemple des caractéristiques de la machine à infecter.

Il n’est pas impossible en outre qu’AfterMidnight et Assassin aient tous deux besoin d’une faille à exploiter pour entrer dans les ordinateurs ciblés, ou d’un accès physique, cette seconde approche étant la plus courante dans les outils vus jusqu’ici. Dans le premier cas cependant, on se retrouverait encore une fois devant le délicat sujet du stockage des failles, que Microsoft a violemment critiqué ce week-end, suite à la vague de problèmes engendrés par WannaCrypt.

23 commentaires
Avatar de Xaelis INpactien
Avatar de XaelisXaelis- 16/05/17 à 12:56:08

Microsoft a plus qu'a patcher ça, mais aux labos de la CIA/NSA ça y va niveau exploits/surveillance !

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/05/17 à 12:56:46

A la place de la CIA, j'aurais renommé Assassin en SleepingCell.

Par contre j'aime bien AfterMidnight/Gremlins... (Don't feed the gremlins after midnight). :D

Avatar de letter Abonné
Avatar de letterletter- 16/05/17 à 13:21:48

Pas sur que y'ait quoique ce soit à patcher là, comme dit dans l'article.
Ces outils se contentent d'executer des choses avec les droits de l'utilisateur qui est en général administrateur de son poste perso, d'où le besoin d'accès physique ou de trouver une faille pour livrer le contenu.

Avatar de wagaf Abonné
Avatar de wagafwagaf- 16/05/17 à 13:31:50

Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 16/05/17 à 13:43:38

Idem, j'aimbe bien afterMidnight/gremlins. :D

Bon sauf qu'en général en dehors de guismo les gremlins c'est plus là pour foutre la merde qu'être discret. :D
Ils semblent pas être membre du CCC visiblement vu qu'ils ont copié les CC. :D (Comité des Chats pour la référence)

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 16/05/17 à 13:44:11

#Les adminsys vont encore bosser jusqu'à pas d'heure le week end pour pousser en urgence des patchs de secu. :(

Édité par Burn2 le 16/05/2017 à 13:45
Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 16/05/17 à 13:44:46

wagaf a écrit :

Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry

Et comme tout média qui se respecte, on ne parlera surtout pas de la trousse à outil de la NSA qui à permis la réalisation de WannaCry, on préférera se contenter de parler des méchants de Corée du Nord ^^

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/05/17 à 13:45:14

wagaf a écrit :

Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry

Ca ne permet pas vraiment de "concevoir" un malware.
C'est plutôt une plateforme d'exécution de malware.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/05/17 à 14:07:59

Au mieux on parlera du méchant groupe Shadow Brokers qui a vole les "outils" de la NSA.

Avatar de wagaf Abonné
Avatar de wagafwagaf- 16/05/17 à 14:10:44

Que les services secrets aient ce type d'outil semble logique et ils ne s'en servent pas pour diffuser des ransomware dans les hôpitaux.

Pour moi la responsabilité revient à ceux qui ont diffusé publiquement le code dans l'unique but de "faire chier" les Américains (trololol) sans se responsabiliser face aux conséquences potentielles.

Si l'objectif était de dénoncer des méthodes de la NSA ou un truc dans l'intérêt du public, la diffusion du code complet n'était pas nécessaire.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Après minuit, quand vient la surveillance
  • Assassin, le crédo de la CIA
  • La simple suite des fuites précédentes
S'abonner à partir de 3,75 €