WikiLeaks a publié hier soir une nouvelle série de documents Vault 7, sa série de révélations sur les pratiques et outils de la CIA. Bientôt cinq mois après les premières, l’organisation s’attaque à trois outils destinés cette fois à Linux et macOS.

Nouvelle semaine, nouveaux outils de piratage de la CIA. La série Vault 7 a déjà montré bien des pratiques de l’agence américaine de renseignement, surtout sous la forme de documentations visant à aider les agents qui s’en servent. Des outils pour préparer de fausses applications Windows, récupérer le trafic OpenSSH dans un serveur Linux, pirater des téléviseurs connectés Samsung ou encore modifier des routeurs pour espionner le trafic en toute impunité.

Mais alors que Linux et macOS avaient jusque-là été relativement épargnés dans les documents publiés, ils sont cette semaine à l’honneur.

Achilles, pour contaminer des images disque sous macOS

L’idée d’Achilles est d’implanter un malware dans un fichier DMG (Disk Image). Ce format sert à l’installation de la plupart des applications externes au Store sur macOS. L’utilisateur l’ouvre dans le Finder, l’image est montée, et l’application peut alors être glissée dans le dossier prévu à cet effet. Quand les installations doivent en plus exécuter des opérations plus complexes via des scripts, le format PKG est souvent utilisé (pour Office par exemple).

La CIA peut prendre le DMG d’une application authentique, le malware qu’elle compte glisser et un outil capable de faire liaison entre les deux. Ce dernier se présente essentiellement comme un script Bash qui laisse l’opérateur libre de certains paramètres. La cible pourra alors récupérer le DMG, l’ouvrir pour installer l’application qu’il contient. Après quoi, Achilles peut s’effacer de lui-même du DMG pour ne pas laisser de traces.

Dans le cas présent, il faudrait sans doute parler au passé. D’après les documents de la CIA, la version 1.0 d’Achilles fonctionnait en effet sous Snow Leopard en 2011. Plusieurs versions du système sont sorties depuis (Snow Leopard avait lui-même déjà deux ans) et on ne connaît pas l’état actuel de cet outil. Il est probable que la CIA ait continué à investir pour se maintenir à jour, mais aucun indice ne permet de l’affirmer.

SeaPea, le rootkit pour macOS

On reste sur les Mac avec SeaPea, qui ne joue plus dans la même cour. Développé en version 1.0 pour Snow Leopard et Lion, SeaPea est un rootkit, dont l’installation permet ensuite de disposer d’une véritable base opérationnelle sur la machine piratée.

Comme tout rootkit, il s’intègre dans la chaine de démarrage, avant que le moindre antivirus ait pu se mettre en route. S’il parvient à se lancer, il crée un lien avec un ou plusieurs opérateurs distants, qui s’en serviront alors comme d’une porte dérobée ou d’un voile d’ombre. Ils peuvent en effet masquer des fichiers, des connexions, voire des processus. L’activité malveillante devient donc délicate à découvrir.

Comme pour Achilles, on ne sait cependant si les travaux ont continué pour rendre SeaPea compatible avec des moutures plus récentes de macOS. Par ailleurs, SeaPea comporte deux limitations, potentielles bloquantes. D’une part, il nécessite un accès à la machine. Pas question comme pour Achilles de faire en sorte que la victime ouvre un simple DMG. D’autre part, SeaPea ne peut pas être désinstallé une fois en place. Seule manière de le supprimer, formater le disque dur de la machine.

Aeris, la porte dérobée pour les distributions GNU Linux

On sort de l’univers Mac pour se diriger vers Linux. Plus question de script ou de rootkit puisque Aeris est un implant automatisé écrit en C, conçu pour s’attaquer à toutes sortes de distributions ou de systèmes Unix. Debian, Red hat Enterprise Linux, Solaris, FreeBSD et CentOS sont spécifiquement nommés. Cependant, tout système basé sur la norme POSIX peut être attaqué.

Aeris – le personnage de Final Fantasy VII apparaît dans la documentation – se sert d’une collection de scripts en Python pour remplir les cases vides dans des fichiers binaires. Ces derniers sont prévus pour viser les systèmes mentionnés plus haut, Aeris servant alors à programmer les conditions et instructions qui seront implantées. Exfiltration de fichiers, configuration de l’écoute pour les serveurs, mode balise, émission via SMTP : Aeris offre de nombreuses possibilités.

Cet outil en lui-même n’est donc pas un malware, mais une étape essentielle dans la chaine qui va les produire. Il prépare les implants, mais ne va pas au-delà. La documentation mentionne d’ailleurs plusieurs points importants, notamment celui de la persistance : les facteurs variant largement d’un système POSIX à un autre, c’est à l’agent de s’adapter, avec l’aide d’autres outils.

Contrairement aux deux autres outils cependant, on ne sait pas vraiment de quand date Aeris. Tout juste apprend-on dans le guide d’utilisation qu’il s’agit d’une version 2.1. Si l’on se base sur le fait que Debian 7 est pris en charge et que cette version est sortie en mai 2013, on peut estimer que l’outil n’a pas plus de quatre ans. Là encore, il est probable que son développement ait continué pour prendre en compte des moutures plus récentes des systèmes visés (et d’autres ont pu être ajoutés).