WikiLeaks a publié hier soir une nouvelle série de documents Vault 7, sa série de révélations sur les pratiques et outils de la CIA. Bientôt cinq mois après les premières, l’organisation s’attaque à trois outils destinés cette fois à Linux et macOS.
Nouvelle semaine, nouveaux outils de piratage de la CIA. La série Vault 7 a déjà montré bien des pratiques de l’agence américaine de renseignement, surtout sous la forme de documentations visant à aider les agents qui s’en servent. Des outils pour préparer de fausses applications Windows, récupérer le trafic OpenSSH dans un serveur Linux, pirater des téléviseurs connectés Samsung ou encore modifier des routeurs pour espionner le trafic en toute impunité.
Mais alors que Linux et macOS avaient jusque-là été relativement épargnés dans les documents publiés, ils sont cette semaine à l’honneur.
Achilles, pour contaminer des images disque sous macOS
L’idée d’Achilles est d’implanter un malware dans un fichier DMG (Disk Image). Ce format sert à l’installation de la plupart des applications externes au Store sur macOS. L’utilisateur l’ouvre dans le Finder, l’image est montée, et l’application peut alors être glissée dans le dossier prévu à cet effet. Quand les installations doivent en plus exécuter des opérations plus complexes via des scripts, le format PKG est souvent utilisé (pour Office par exemple).
La CIA peut prendre le DMG d’une application authentique, le malware qu’elle compte glisser et un outil capable de faire liaison entre les deux. Ce dernier se présente essentiellement comme un script Bash qui laisse l’opérateur libre de certains paramètres. La cible pourra alors récupérer le DMG, l’ouvrir pour installer l’application qu’il contient. Après quoi, Achilles peut s’effacer de lui-même du DMG pour ne pas laisser de traces.
Dans le cas présent, il faudrait sans doute parler au passé. D’après les documents de la CIA, la version 1.0 d’Achilles fonctionnait en effet sous Snow Leopard en 2011. Plusieurs versions du système sont sorties depuis (Snow Leopard avait lui-même déjà deux ans) et on ne connaît pas l’état actuel de cet outil. Il est probable que la CIA ait continué à investir pour se maintenir à jour, mais aucun indice ne permet de l’affirmer.
SeaPea, le rootkit pour macOS
On reste sur les Mac avec SeaPea, qui ne joue plus dans la même cour. Développé en version 1.0 pour Snow Leopard et Lion, SeaPea est un rootkit, dont l’installation permet ensuite de disposer d’une véritable base opérationnelle sur la machine piratée.
Comme tout rootkit, il s’intègre dans la chaine de démarrage, avant que le moindre antivirus ait pu se mettre en route. S’il parvient à se lancer, il crée un lien avec un ou plusieurs opérateurs distants, qui s’en serviront alors comme d’une porte dérobée ou d’un voile d’ombre. Ils peuvent en effet masquer des fichiers, des connexions, voire des processus. L’activité malveillante devient donc délicate à découvrir.
Comme pour Achilles, on ne sait cependant si les travaux ont continué pour rendre SeaPea compatible avec des moutures plus récentes de macOS. Par ailleurs, SeaPea comporte deux limitations, potentielles bloquantes. D’une part, il nécessite un accès à la machine. Pas question comme pour Achilles de faire en sorte que la victime ouvre un simple DMG. D’autre part, SeaPea ne peut pas être désinstallé une fois en place. Seule manière de le supprimer, formater le disque dur de la machine.
Aeris, la porte dérobée pour les distributions GNU Linux
On sort de l’univers Mac pour se diriger vers Linux. Plus question de script ou de rootkit puisque Aeris est un implant automatisé écrit en C, conçu pour s’attaquer à toutes sortes de distributions ou de systèmes Unix. Debian, Red hat Enterprise Linux, Solaris, FreeBSD et CentOS sont spécifiquement nommés. Cependant, tout système basé sur la norme POSIX peut être attaqué.
Aeris – le personnage de Final Fantasy VII apparaît dans la documentation – se sert d’une collection de scripts en Python pour remplir les cases vides dans des fichiers binaires. Ces derniers sont prévus pour viser les systèmes mentionnés plus haut, Aeris servant alors à programmer les conditions et instructions qui seront implantées. Exfiltration de fichiers, configuration de l’écoute pour les serveurs, mode balise, émission via SMTP : Aeris offre de nombreuses possibilités.
Cet outil en lui-même n’est donc pas un malware, mais une étape essentielle dans la chaine qui va les produire. Il prépare les implants, mais ne va pas au-delà. La documentation mentionne d’ailleurs plusieurs points importants, notamment celui de la persistance : les facteurs variant largement d’un système POSIX à un autre, c’est à l’agent de s’adapter, avec l’aide d’autres outils.
Contrairement aux deux autres outils cependant, on ne sait pas vraiment de quand date Aeris. Tout juste apprend-on dans le guide d’utilisation qu’il s’agit d’une version 2.1. Si l’on se base sur le fait que Debian 7 est pris en charge et que cette version est sortie en mai 2013, on peut estimer que l’outil n’a pas plus de quatre ans. Là encore, il est probable que son développement ait continué pour prendre en compte des moutures plus récentes des systèmes visés (et d’autres ont pu être ajoutés).
Commentaires (18)
C’est Aeris qui va être content:
https://blog.imirhil.fr
Ah mince moi qui me pensais peinard avec un MBP sous SL..
" />
Ca serait bien que Wikileaks indique où ils en sont dans la divulgation des malwares de la CIA. Genre : 30 malwares révélés sur 250.
A moins que ce soit du vent ? Après tout, a t-on les moyens de vérifier que 1. ces malwares existent tous, 2. qu’ils fonctionnent, 3. qu’ils furent/sont exploités. On nous donne des noms, pas des binaires (je me trompe peut être sur ce point) ni les codes source. Il est donc possible que ce soit une façon d’exagérer la toute-puissance des renseignements américains face aux méchants russes/chinois/nord-coréens. Simples suppositions hein ;)
Il y a suffisamment de site et post sur Internet qui permettent de faire n’importe quoi … tu peux aussi de rentre à des salons de sécu et discuter avec des experts … tu n’en serras que stupéfait de ce que l’on peut faire … aujourd’hui … et demain … serra juste flippant …
Ca c’est certain
" />
" />
Et en plus:
« Aeris is (…) written in C »
Je proteste ! Je vais poursuivre la CIA pour contrefaçon !
” version 1.0 d’Achilles fonctionnait en effet sous Snow Leopard en 2011”
Mac OS 10.8 Lion est sorti en 2011 et il a commencé à introduire les bases de gatekeeper en 2012https://en.wikipedia.org/wiki/Gatekeeper_(macOS)
Gayekeeper semble tout à fait adapter à contrer des trucs comme Achilles.
Je me demande si le fait que ce logiciel espion n’évoque pas une version plus récent de Mac OS ne vient pas de là!
Pour le grand public, c’est Mac OS X 10.8 Mountain Lion sorti en 2012 qui a popularisé la fonctionnalité Gatekeeper en lui offrant une interface graphique.
“Solaris, FreeBSD” dans la catégorie GNU Linux !!! Je m’étouffe.
Gatekeeper ne vaut pas un clou en terme de sécu, il a été montré que tu pouvais remplacer l’exécutable d’un programme une fois que celui-ci était marqué comme “vérifié” sans que Gatekeeper ne dise mot. De manière générale Apple et la sécurité ça fait deux.
Pour le reste rien de bien étonnant dans cette news. D’où l’intérêt d’avoir un routeur séparé physiquement de la machine, même si ce dernier peut être aussi facilement hacké. En multipliant les couches on complexifie les attaques…
As-tu des liens pour les failles de Gatekeeper? Ça m’intéresse.
https://www.nextinpact.com/news/96694-os-x-protection-gatekeeper-peut-etre-aisement-contournee.htm
Pour AERIS, est-il obligatoire qu’il y ait un accès MIM ?
" />
Ou bien tout passe par une ISO vérolée ?
Ok
Merci
Je pensais que cela vérifaistl’intégrité du binaire mais aussi que cela avait une portée plus large!
Si tu as bien lu, il y est parlé des “distributions ou de systèmes Unix” et aussi que “tout système basé sur la norme POSIX peut être attaqué”.
Donc, ça couvre bien Solaris et FreeBSD.