Vault 7 : WikiLeaks s’attaque à Athena, plateforme d’espionnage de la CIA visant Windows
CIA Niké
Le 22 mai 2017 à 10h45
6 min
Internet
Internet
Comme chaque vendredi soir, WikiLeaks a publié de nouvelles informations « Vault 7 » sur les outils et techniques utilisés par la CIA. Il s’agit cette fois d’Athena, une plateforme permettant l’implantation d’un spyware et d’en garder le contrôle. Globalement, on retrouve à grands traits les caractéristiques d’AfterMidnight et Assassin.
Depuis environ deux mois, WikiLeaks fournit une fois par semaine un lot d’informations sur certaines procédures utilisées par la CIA pour espionner ses cibles. Réunies sous l’appellation Vault 7, elles ont notamment permis de voir comment l’agence pouvait créer de fausses applications, masquer ses traces, ou encore bâtir entièrement un malware spécifique, à partir de kits d’outils.
La semaine dernière, AfterMidnight et Assassin décrivaient ainsi comment les techniciens de l’agence pouvaient se servir de structures spécifiques pour assembler des implants à placer sur des machines Windows. Le dernier lot Vault 7 s’attaque pour sa part à Athena, une autre plateforme de conception, mais avec certains aspects particuliers.
Athena montre des techniques bien rodées
WikiLeaks fournit plusieurs documents, dont un guide d’installation et un résumé technique de sa conception. Comme pour les précédents outils, ces documents sont riches d’enseignements, mais l’organisation ne fournit pas le code lui-même.
Athena montre de nombreuses similitudes avec AfterMidnight et Assassin. On retrouve ainsi un opérateur maître à bord ayant à sa disposition les outils nécessaires à la construction d’un implant spécifique, d’un « builder » finalisant cette étape et d’un serveur Apache qui va lui servir de relais pour transmettre ses commandes.
Comme les précédentes infrastructures en effet, Athena produit un malware dont le vecteur d’installation n’est pas indiqué. On imagine qu’il est différent selon les méthodes d’accès à la machine. Elles peuvent aller de l’exploitation d’une faille (et on sait combien cette chasse aux vulnérabilités est précieuse) à l’exécution d’un binaire conçu dans cette optique, en passant par l’accès physique à la machine.
Une plateforme conçue pour viser Windows XP à 10
Si on ne savait pas vraiment quelles versions du système pouvaient être visées pour certains outils, les informations sur Athena sont précises. Toutes les moutures de Windows depuis XP peuvent être infectées par Athena, même si l’on ignore le point d’entrée.
Quelle que soit la version, le malware installé est de type espion. Il est là pour récupérer toutes les informations exploitables, des fichiers présents sur l’unité de stockage aux frappes au clavier. Une fonction balise est présente, lui permettant de recevoir ses instructions depuis le serveur Apache précédemment cité.
Plusieurs modes sont prévus dans Athena, dont la prise de contrôle directe pour effectuer des opérations en temps réel, et les tâches planifiées. En clair, une plateforme complète de gestion, avec possibilité de charger ou décharger des éléments en mémoire vive et de récupérer pratiquement n’importe quelle information sur la machine contaminée.
Ajoutons qu’Athena dispose d’une seconde version, nommée Hera, spécifique aux versions plus récentes de Windows, à savoir de 8 à 10. On ne sait pas exactement pourquoi, mais on peut supposer que cette mouture a été conçue pour prendre en charge un nombre plus important de barrières de sécurité.
Discrétion exigée
La documentation propose également une « démonstration » d’Athena, en fait une collection de lignes de commandes pour faire apprendre la syntaxe et indiquer le type de résultat qu’obtiendra l’agent. Instructions, arguments et opérateurs sont ainsi référencés, comme dans n’importe quel guide d’utilisation de logiciel.
Il est en outre demandé aux agents de faire particulièrement attention à ne pas se faire repérer. Puisqu’ils ont la maitrise de la plateforme, ils doivent pouvoir réagir en temps réel à certaines menaces, notamment les antivirus. Point intéressant, il est spécifiquement indiqué dans la page 41 d’un des documents que les produits de Kaspersky doivent être évités.
En clair, il est chaudement recommandé aux opérateurs d’abandonner la mission et d’effacer toutes leurs traces plutôt que de risquer une découverte. Là encore, le guide d’utilisation fournit des précisions sur la marche à suivre.
Un travail commun avec une entreprise de cybersécurité
Les documents indiquent également plusieurs éléments sur les provenances d’Athena. On sait ainsi que sa première version date d’août 2015 et qu’il s’agit donc d’un projet récent, ce qui expliquerait d’ailleurs pourquoi Windows 10 est également dans la boucle (Athena est sorti un mois après le système). Il est très probable en effet que la nouvelle mouture du système ait été prise en compte durant le développement.
La CIA n’a toutefois pas opéré seule pour ce projet. Elle a travaillé en partenariat avec Siege Technologies, depuis rachetée par Nehemiah Security en novembre dernier. Siege est une société dédiée à la cybersécurité, tant pour des outils capables d’identifier du code malveillant que pour des projets nettement plus offensifs. Sur sa page d’accueil, l’entreprise n’hésite ainsi pas à rappeler que la « meilleure défense, c’est l’attaque ».
Quel risque pour les utilisateurs ?
La question se pose à chaque fois que WikiLeaks publie des informations. L’organisation a été accusée en mars de jouer une partie trouble avec la sécurité, notamment avec les failles de sécurité, qui n’étaient alors pas signalées aussitôt aux éditeurs concernés. On se souvient notamment de l’agacement d’Apple à ce sujet.
Mais depuis plusieurs semaines, toutes les publications de WikiLeaks concernent des documents, en particulier des guides d’utilisation. Ces informations ne sont pas suffisantes pour en extraire des attaques potentielles, puisqu’il manque la matière première, à savoir le code. Cela étant, elles renseignent largement sur les outils, ce qui est l’effet recherché : informer sur les capacités de la CIA.
Les utilisateurs sont-ils donc en danger ? Il n’y a a priori pas de risques comparables à celui de WannaCrypt, dont l’existence n’a été rendue possible que par le vol d’outils de la NSA par les pirates Shadow Brokers. Le seul risque finalement que votre machine soit infectée par Athena est… que vous soyez vous-même une cible de la CIA. En tout cas pour l’instant.
Vault 7 : WikiLeaks s’attaque à Athena, plateforme d’espionnage de la CIA visant Windows
-
Athena montre des techniques bien rodées
-
Une plateforme conçue pour viser Windows XP à 10
-
Discrétion exigée
-
Un travail commun avec une entreprise de cybersécurité
-
Quel risque pour les utilisateurs ?
Commentaires (18)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/05/2017 à 10h56
Kaspersky serait donc un problème. On se demande pourquoi les autres éditeurs ne le sont pas….
Le 22/05/2017 à 21h56
CIAnogen, CIAnure…
😅😂
Le 22/05/2017 à 11h04
Le 22/05/2017 à 11h06
C’est clair.
Soit les autres sont TOUS mauvais, soit ils fournissent volontairement à la CIA des outils pour être bypasser.
La première options est assez dure à croire…
Le 22/05/2017 à 11h07
Vu le nombre d’antivirus, c’est dur à croire qu’un seul fasse son boulot…
Le 22/05/2017 à 11h19
Salut,
Kapersky, c’est russe non ? donc à mon avis plus “sensible” au homologues moscovites de la CIA…" />
A+
Le 22/05/2017 à 11h58
Il faut que je refasse mes réserves de pop-corn!!
Le 22/05/2017 à 12h04
heu niké c’est la déesse de la victoire donc le sous titre ça va pas " />
Le 22/05/2017 à 12h06
Comme l’a dit LeJediGris, ils sont russes, donc probablement qu’ils n’ont pas d’accords/d’ordre de foutre à la paix à la CIA. " />
Le 22/05/2017 à 12h07
Le 22/05/2017 à 12h11
pour le coup, avec ces fuites, ils se sont bien faits déesse de la victoire, la CIA " />
Le 22/05/2017 à 12h28
Référence à Athena, double-sens toussa " />
Le 22/05/2017 à 12h39
Le 22/05/2017 à 12h44
Le 22/05/2017 à 13h14
" />
Le 22/05/2017 à 14h01
Bon, ben je vais rajouter une machine avec Kapersky. 4 suites de sécurité qui scannent en même temps tout un LAN, ça va être intéressant
Le 22/05/2017 à 15h21
Il y extrêmement peut de change que le malware en question existe sur l’une de tes machines, la CIA n’est pas la NSA ils font de l’espionnage ciblé
Le 22/05/2017 à 21h52
Pire sous-titre depuis janvier 2017.
😅😅👍