Vault 7 : WikiLeaks s’attaque à Athena, plateforme d’espionnage de la CIA visant Windows

Comme chaque vendredi soir, WikiLeaks a publié de nouvelles informations « Vault 7 » sur les outils et techniques utilisés par la CIA. Il s’agit cette fois d’Athena, une plateforme permettant l’implantation d’un spyware et d’en garder le contrôle. Globalement, on retrouve à grands traits les caractéristiques d’AfterMidnight et Assassin.

Depuis environ deux mois, WikiLeaks fournit une fois par semaine un lot d’informations sur certaines procédures utilisées par la CIA pour espionner ses cibles. Réunies sous l’appellation Vault 7, elles ont notamment permis de voir comment l’agence pouvait créer de fausses applications, masquer ses traces, ou encore bâtir entièrement un malware spécifique, à partir de kits d’outils.

La semaine dernière, AfterMidnight et Assassin décrivaient ainsi comment les techniciens de l’agence pouvaient se servir de structures spécifiques pour assembler des implants à placer sur des machines Windows. Le dernier lot Vault 7 s’attaque pour sa part à Athena, une autre plateforme de conception, mais avec certains aspects particuliers.

Athena montre des techniques bien rodées

WikiLeaks fournit plusieurs documents, dont un guide d’installation et un résumé technique de sa conception. Comme pour les précédents outils, ces documents sont riches d’enseignements, mais l’organisation ne fournit pas le code lui-même.

Athena montre de nombreuses similitudes avec AfterMidnight et Assassin. On retrouve ainsi un opérateur maître à bord ayant à sa disposition les outils nécessaires à la construction d’un implant spécifique, d’un « builder » finalisant cette étape et d’un serveur Apache qui va lui servir de relais pour transmettre ses commandes.

Comme les précédentes infrastructures en effet, Athena produit un malware dont le vecteur d’installation n’est pas indiqué. On imagine qu’il est différent selon les méthodes d’accès à la machine. Elles peuvent aller de l’exploitation d’une faille (et on sait combien cette chasse aux vulnérabilités est précieuse) à l’exécution d’un binaire conçu dans cette optique, en passant par l’accès physique à la machine.

Une plateforme conçue pour viser Windows XP à 10

Si on ne savait pas vraiment quelles versions du système pouvaient être visées pour certains outils, les informations sur Athena sont précises. Toutes les moutures de Windows depuis XP peuvent être infectées par Athena, même si l’on ignore le point d’entrée.

Quelle que soit la version, le malware installé est de type espion. Il est là pour récupérer toutes les informations exploitables, des fichiers présents sur l’unité de stockage aux frappes au clavier. Une fonction balise est présente, lui permettant de recevoir ses instructions depuis le serveur Apache précédemment cité.

Plusieurs modes sont prévus dans Athena, dont la prise de contrôle directe pour effectuer des opérations en temps réel, et les tâches planifiées. En clair, une plateforme complète de gestion, avec possibilité de charger ou décharger des éléments en mémoire vive et de récupérer pratiquement n’importe quelle information sur la machine contaminée.

Ajoutons qu’Athena dispose d’une seconde version, nommée Hera, spécifique aux versions plus récentes de Windows, à savoir de 8 à 10. On ne sait pas exactement pourquoi, mais on peut supposer que cette mouture a été conçue pour prendre en charge un nombre plus important de barrières de sécurité.

Discrétion exigée

La documentation propose également une « démonstration » d’Athena, en fait une collection de lignes de commandes pour faire apprendre la syntaxe et indiquer le type de résultat qu’obtiendra l’agent. Instructions, arguments et opérateurs sont ainsi référencés, comme dans n’importe quel guide d’utilisation de logiciel.

Il est en outre demandé aux agents de faire particulièrement attention à ne pas se faire repérer. Puisqu’ils ont la maitrise de la plateforme, ils doivent pouvoir réagir en temps réel à certaines menaces, notamment les antivirus. Point intéressant, il est spécifiquement indiqué dans la page 41 d’un des documents que les produits de Kaspersky doivent être évités.

En clair, il est chaudement recommandé aux opérateurs d’abandonner la mission et d’effacer toutes leurs traces plutôt que de risquer une découverte. Là encore, le guide d’utilisation fournit des précisions sur la marche à suivre.

Un travail commun avec une entreprise de cybersécurité

Les documents indiquent également plusieurs éléments sur les provenances d’Athena. On sait ainsi que sa première version date d’août 2015 et qu’il s’agit donc d’un projet récent, ce qui expliquerait d’ailleurs pourquoi Windows 10 est également dans la boucle (Athena est sorti un mois après le système). Il est très probable en effet que la nouvelle mouture du système ait été prise en compte durant le développement.

La CIA n’a toutefois pas opéré seule pour ce projet. Elle a travaillé en partenariat avec Siege Technologies, depuis rachetée par Nehemiah Security en novembre dernier. Siege est une société dédiée à la cybersécurité, tant pour des outils capables d’identifier du code malveillant que pour des projets nettement plus offensifs. Sur sa page d’accueil, l’entreprise n’hésite ainsi pas à rappeler que la « meilleure défense, c’est l’attaque ».

Quel risque pour les utilisateurs ?

La question se pose à chaque fois que WikiLeaks publie des informations. L’organisation a été accusée en mars de jouer une partie trouble avec la sécurité, notamment avec les failles de sécurité, qui n’étaient alors pas signalées aussitôt aux éditeurs concernés. On se souvient notamment de l’agacement d’Apple à ce sujet.

Mais depuis plusieurs semaines, toutes les publications de WikiLeaks concernent des documents, en particulier des guides d’utilisation. Ces informations ne sont pas suffisantes pour en extraire des attaques potentielles, puisqu’il manque la matière première, à savoir le code. Cela étant, elles renseignent largement sur les outils, ce qui est l’effet recherché : informer sur les capacités de la CIA.

Les utilisateurs sont-ils donc en danger ? Il n’y a a priori pas de risques comparables à celui de WannaCrypt, dont l’existence n’a été rendue possible que par le vol d’outils de la NSA par les pirates Shadow Brokers. Le seul risque finalement que votre machine soit infectée par Athena est… que vous soyez vous-même une cible de la CIA. En tout cas pour l’instant.