Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Vault 7 : macOS et Linux ne sont pas épargnés par la CIA

Mais personne n'en doutait
Logiciel 4 min
Vault 7 : macOS et Linux ne sont pas épargnés par la CIA
Crédits : gmutlu/iStock

WikiLeaks a publié hier soir une nouvelle série de documents Vault 7, sa série de révélations sur les pratiques et outils de la CIA. Bientôt cinq mois après les premières, l’organisation s’attaque à trois outils destinés cette fois à Linux et macOS.

Nouvelle semaine, nouveaux outils de piratage de la CIA. La série Vault 7 a déjà montré bien des pratiques de l’agence américaine de renseignement, surtout sous la forme de documentations visant à aider les agents qui s’en servent. Des outils pour préparer de fausses applications Windows, récupérer le trafic OpenSSH dans un serveur Linux, pirater des téléviseurs connectés Samsung ou encore modifier des routeurs pour espionner le trafic en toute impunité.

Mais alors que Linux et macOS avaient jusque-là été relativement épargnés dans les documents publiés, ils sont cette semaine à l’honneur.

Achilles, pour contaminer des images disque sous macOS

L’idée d’Achilles est d’implanter un malware dans un fichier DMG (Disk Image). Ce format sert à l’installation de la plupart des applications externes au Store sur macOS. L’utilisateur l’ouvre dans le Finder, l’image est montée, et l’application peut alors être glissée dans le dossier prévu à cet effet. Quand les installations doivent en plus exécuter des opérations plus complexes via des scripts, le format PKG est souvent utilisé (pour Office par exemple).

La CIA peut prendre le DMG d’une application authentique, le malware qu’elle compte glisser et un outil capable de faire liaison entre les deux. Ce dernier se présente essentiellement comme un script Bash qui laisse l’opérateur libre de certains paramètres. La cible pourra alors récupérer le DMG, l’ouvrir pour installer l’application qu’il contient. Après quoi, Achilles peut s’effacer de lui-même du DMG pour ne pas laisser de traces.

Dans le cas présent, il faudrait sans doute parler au passé. D’après les documents de la CIA, la version 1.0 d’Achilles fonctionnait en effet sous Snow Leopard en 2011. Plusieurs versions du système sont sorties depuis (Snow Leopard avait lui-même déjà deux ans) et on ne connaît pas l’état actuel de cet outil. Il est probable que la CIA ait continué à investir pour se maintenir à jour, mais aucun indice ne permet de l’affirmer.

SeaPea, le rootkit pour macOS

On reste sur les Mac avec SeaPea, qui ne joue plus dans la même cour. Développé en version 1.0 pour Snow Leopard et Lion, SeaPea est un rootkit, dont l’installation permet ensuite de disposer d’une véritable base opérationnelle sur la machine piratée.

Comme tout rootkit, il s’intègre dans la chaine de démarrage, avant que le moindre antivirus ait pu se mettre en route. S’il parvient à se lancer, il crée un lien avec un ou plusieurs opérateurs distants, qui s’en serviront alors comme d’une porte dérobée ou d’un voile d’ombre. Ils peuvent en effet masquer des fichiers, des connexions, voire des processus. L’activité malveillante devient donc délicate à découvrir.

Comme pour Achilles, on ne sait cependant si les travaux ont continué pour rendre SeaPea compatible avec des moutures plus récentes de macOS. Par ailleurs, SeaPea comporte deux limitations, potentielles bloquantes. D’une part, il nécessite un accès à la machine. Pas question comme pour Achilles de faire en sorte que la victime ouvre un simple DMG. D’autre part, SeaPea ne peut pas être désinstallé une fois en place. Seule manière de le supprimer, formater le disque dur de la machine.

Aeris, la porte dérobée pour les distributions GNU Linux

On sort de l’univers Mac pour se diriger vers Linux. Plus question de script ou de rootkit puisque Aeris est un implant automatisé écrit en C, conçu pour s’attaquer à toutes sortes de distributions ou de systèmes Unix. Debian, Red hat Enterprise Linux, Solaris, FreeBSD et CentOS sont spécifiquement nommés. Cependant, tout système basé sur la norme POSIX peut être attaqué.

Aeris – le personnage de Final Fantasy VII apparaît dans la documentation – se sert d’une collection de scripts en Python pour remplir les cases vides dans des fichiers binaires. Ces derniers sont prévus pour viser les systèmes mentionnés plus haut, Aeris servant alors à programmer les conditions et instructions qui seront implantées. Exfiltration de fichiers, configuration de l’écoute pour les serveurs, mode balise, émission via SMTP : Aeris offre de nombreuses possibilités.

Cet outil en lui-même n’est donc pas un malware, mais une étape essentielle dans la chaine qui va les produire. Il prépare les implants, mais ne va pas au-delà. La documentation mentionne d’ailleurs plusieurs points importants, notamment celui de la persistance : les facteurs variant largement d’un système POSIX à un autre, c’est à l’agent de s’adapter, avec l’aide d’autres outils.

Contrairement aux deux autres outils cependant, on ne sait pas vraiment de quand date Aeris. Tout juste apprend-on dans le guide d’utilisation qu’il s’agit d’une version 2.1. Si l’on se base sur le fait que Debian 7 est pris en charge et que cette version est sortie en mai 2013, on peut estimer que l’outil n’a pas plus de quatre ans. Là encore, il est probable que son développement ait continué pour prendre en compte des moutures plus récentes des systèmes visés (et d’autres ont pu être ajoutés).

18 commentaires
Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 28/07/17 à 15:25:43

C'est Aeris qui va être content:
https://blog.imirhil.fr

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 28/07/17 à 15:32:34

Ah mince moi qui me pensais peinard avec un MBP sous SL.. :transpi:

Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 28/07/17 à 16:30:45

Ca serait bien que Wikileaks indique où ils en sont dans la divulgation des malwares de la CIA. Genre : 30 malwares révélés sur 250.
A moins que ce soit du vent ? Après tout, a t-on les moyens de vérifier que 1. ces malwares existent tous, 2. qu'ils fonctionnent, 3. qu'ils furent/sont exploités. On nous donne des noms, pas des binaires (je me trompe peut être sur ce point) ni les codes source. Il est donc possible que ce soit une façon d'exagérer la toute-puissance des renseignements américains face aux méchants russes/chinois/nord-coréens. Simples suppositions hein ;)

Édité par grosbidule le 28/07/2017 à 16:32
Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 28/07/17 à 16:51:40

grosbidule a écrit :

Ca serait bien que Wikileaks indique où ils en sont dans la divulgation des malwares de la CIA. Genre : 30 malwares révélés sur 250.
A moins que ce soit du vent ? Après tout, a t-on les moyens de vérifier que 1. ces malwares existent tous, 2. qu'ils fonctionnent, 3. qu'ils furent/sont exploités. On nous donne des noms, pas des binaires (je me trompe peut être sur ce point) ni les codes source. Il est donc possible que ce soit une façon d'exagérer la toute-puissance des renseignements américains face aux méchants russes/chinois/nord-coréens. Simples suppositions hein ;)

Evidemment qu'on ne donne pas de binaires.
S'ils le faisaient, tout le monde leur tomberait dessus en les traitant de dangereux crypto terroristes a la solde des russes.

Avatar de ltardy78 INpactien
Avatar de ltardy78ltardy78- 28/07/17 à 16:56:53

Il y a suffisamment de site et post sur Internet qui permettent de faire n'importe quoi ... tu peux aussi de rentre à des salons de sécu et discuter avec des experts ... tu n'en serras que stupéfait de ce que l'on peut faire ... aujourd'hui ... et demain ... serra juste flippant ...

Avatar de Jaskier Abonné
Avatar de JaskierJaskier- 28/07/17 à 18:53:54

Ca c'est certain:ouioui:

Et en plus:
« Aeris is (...) written in C » :langue:

Avatar de aeris22 Abonné
Avatar de aeris22aeris22- 28/07/17 à 18:58:01

Je proteste ! Je vais poursuivre la CIA pour contrefaçon !

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 29/07/17 à 05:58:17

" version 1.0 d’Achilles fonctionnait en effet sous Snow Leopard en 2011"

Mac OS 10.8 Lion est sorti en 2011 et il a commencé à introduire les bases de gatekeeper en 2012https://en.wikipedia.org/wiki/Gatekeeper_(macOS)
Gayekeeper semble tout à fait adapter à contrer des trucs comme Achilles.

Je me demande si le fait que ce logiciel espion n'évoque pas une version plus récent de Mac OS ne vient pas de là!

Pour le grand public, c'est Mac OS X 10.8 Mountain Lion sorti en 2012 qui a popularisé la fonctionnalité Gatekeeper en lui offrant une interface graphique.

Avatar de jmm INpactien
Avatar de jmmjmm- 29/07/17 à 07:08:40

"Solaris, FreeBSD" dans la catégorie GNU Linux !!! Je m'étouffe.

Avatar de tiret Abonné
Avatar de tirettiret- 29/07/17 à 07:26:54

Gatekeeper ne vaut pas un clou en terme de sécu, il a été montré que tu pouvais remplacer l'exécutable d'un  programme une fois que celui-ci était marqué comme "vérifié" sans que Gatekeeper ne dise mot. De manière générale Apple et la sécurité ça fait deux.

Pour le reste rien de bien étonnant dans cette news. D'où l'intérêt d'avoir un routeur séparé physiquement de la machine, même si ce dernier peut être aussi facilement hacké. En multipliant les couches on complexifie les attaques...

Il n'est plus possible de commenter cette actualité.
Page 1 / 2