Connexion
Abonnez-vous

Vault 7 : WikiLeaks s’attaque à Athena, plateforme d’espionnage de la CIA visant Windows

CIA Niké

Vault 7 : WikiLeaks s'attaque à Athena, plateforme d'espionnage de la CIA visant Windows

Le 22 mai 2017 à 10h45

Comme chaque vendredi soir, WikiLeaks a publié de nouvelles informations « Vault 7 » sur les outils et techniques utilisés par la CIA. Il s’agit cette fois d’Athena, une plateforme permettant l’implantation d’un spyware et d’en garder le contrôle. Globalement, on retrouve à grands traits les caractéristiques d’AfterMidnight et Assassin.

Depuis environ deux mois, WikiLeaks fournit une fois par semaine un lot d’informations sur certaines procédures utilisées par la CIA pour espionner ses cibles. Réunies sous l’appellation Vault 7, elles ont notamment permis de voir comment l’agence pouvait créer de fausses applications, masquer ses traces, ou encore bâtir entièrement un malware spécifique, à partir de kits d’outils.

La semaine dernière, AfterMidnight et Assassin décrivaient ainsi comment les techniciens de l’agence pouvaient se servir de structures spécifiques pour assembler des implants à placer sur des machines Windows. Le dernier lot Vault 7 s’attaque pour sa part à Athena, une autre plateforme de conception, mais avec certains aspects particuliers.

Athena montre des techniques bien rodées

WikiLeaks fournit plusieurs documents, dont un guide d’installation et un résumé technique de sa conception. Comme pour les précédents outils, ces documents sont riches d’enseignements, mais l’organisation ne fournit pas le code lui-même.

Athena montre de nombreuses similitudes avec AfterMidnight et Assassin. On retrouve ainsi un opérateur maître à bord ayant à sa disposition les outils nécessaires à la construction d’un implant spécifique, d’un « builder » finalisant cette étape et d’un serveur Apache qui va lui servir de relais pour transmettre ses commandes.

Comme les précédentes infrastructures en effet, Athena produit un malware dont le vecteur d’installation n’est pas indiqué. On imagine qu’il est différent selon les méthodes d’accès à la machine. Elles peuvent aller de l’exploitation d’une faille (et on sait combien cette chasse aux vulnérabilités est précieuse) à l’exécution d’un binaire conçu dans cette optique, en passant par l’accès physique à la machine.

wikileaks cia athena hera

Une plateforme conçue pour viser Windows XP à 10

Si on ne savait pas vraiment quelles versions du système pouvaient être visées pour certains outils, les informations sur Athena sont précises. Toutes les moutures de Windows depuis XP peuvent être infectées par Athena, même si l’on ignore le point d’entrée.

Quelle que soit la version, le malware installé est de type espion. Il est là pour récupérer toutes les informations exploitables, des fichiers présents sur l’unité de stockage aux frappes au clavier. Une fonction balise est présente, lui permettant de recevoir ses instructions depuis le serveur Apache précédemment cité.

Plusieurs modes sont prévus dans Athena, dont la prise de contrôle directe pour effectuer des opérations en temps réel, et les tâches planifiées. En clair, une plateforme complète de gestion, avec possibilité de charger ou décharger des éléments en mémoire vive et de récupérer pratiquement n’importe quelle information sur la machine contaminée.

Ajoutons qu’Athena dispose d’une seconde version, nommée Hera, spécifique aux versions plus récentes de Windows, à savoir de 8 à 10. On ne sait pas exactement pourquoi, mais on peut supposer que cette mouture a été conçue pour prendre en charge un nombre plus important de barrières de sécurité.

Discrétion exigée

La documentation propose également une « démonstration » d’Athena, en fait une collection de lignes de commandes pour faire apprendre la syntaxe et indiquer le type de résultat qu’obtiendra l’agent. Instructions, arguments et opérateurs sont ainsi référencés, comme dans n’importe quel guide d’utilisation de logiciel.

Il est en outre demandé aux agents de faire particulièrement attention à ne pas se faire repérer. Puisqu’ils ont la maitrise de la plateforme, ils doivent pouvoir réagir en temps réel à certaines menaces, notamment les antivirus. Point intéressant, il est spécifiquement indiqué dans la page 41 d’un des documents que les produits de Kaspersky doivent être évités.

En clair, il est chaudement recommandé aux opérateurs d’abandonner la mission et d’effacer toutes leurs traces plutôt que de risquer une découverte. Là encore, le guide d’utilisation fournit des précisions sur la marche à suivre.

Un travail commun avec une entreprise de cybersécurité

Les documents indiquent également plusieurs éléments sur les provenances d’Athena. On sait ainsi que sa première version date d’août 2015 et qu’il s’agit donc d’un projet récent, ce qui expliquerait d’ailleurs pourquoi Windows 10 est également dans la boucle (Athena est sorti un mois après le système). Il est très probable en effet que la nouvelle mouture du système ait été prise en compte durant le développement.

La CIA n’a toutefois pas opéré seule pour ce projet. Elle a travaillé en partenariat avec Siege Technologies, depuis rachetée par Nehemiah Security en novembre dernier. Siege est une société dédiée à la cybersécurité, tant pour des outils capables d’identifier du code malveillant que pour des projets nettement plus offensifs. Sur sa page d’accueil, l’entreprise n’hésite ainsi pas à rappeler que la « meilleure défense, c’est l’attaque ».

Quel risque pour les utilisateurs ?

La question se pose à chaque fois que WikiLeaks publie des informations. L’organisation a été accusée en mars de jouer une partie trouble avec la sécurité, notamment avec les failles de sécurité, qui n’étaient alors pas signalées aussitôt aux éditeurs concernés. On se souvient notamment de l’agacement d’Apple à ce sujet.

Mais depuis plusieurs semaines, toutes les publications de WikiLeaks concernent des documents, en particulier des guides d’utilisation. Ces informations ne sont pas suffisantes pour en extraire des attaques potentielles, puisqu’il manque la matière première, à savoir le code. Cela étant, elles renseignent largement sur les outils, ce qui est l’effet recherché : informer sur les capacités de la CIA.

Les utilisateurs sont-ils donc en danger ? Il n’y a a priori pas de risques comparables à celui de WannaCrypt, dont l’existence n’a été rendue possible que par le vol d’outils de la NSA par les pirates Shadow Brokers. Le seul risque finalement que votre machine soit infectée par Athena est… que vous soyez vous-même une cible de la CIA. En tout cas pour l’instant.

Le 22 mai 2017 à 10h45

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Kaspersky serait donc un problème. On se demande pourquoi les autres éditeurs ne le sont pas….

votre avatar







Ricard a écrit :



Kaspersky serait donc un problème. On se demande pourquoi les autres éditeurs ne le sont pas….



Leur antivirus doit être un poil plus “parano” sur la partie sécurité (comme OfficeScan qui l’est sur les virus en général), du coup il détecte plus facilement les intrusions, je suppose.


votre avatar

C’est clair.

 Soit les autres sont TOUS mauvais, soit ils fournissent volontairement à la CIA des outils pour être bypasser. 

La première options est assez dure à croire… 

votre avatar

Vu le nombre d’antivirus, c’est dur à croire qu’un seul fasse son boulot…

 

votre avatar

Salut,



Kapersky, c’est russe non ? donc à mon avis plus “sensible” au homologues moscovites de la CIA…<img data-src=" />





A+

votre avatar

Il faut que je refasse mes réserves de pop-corn!!

votre avatar

heu niké c’est la déesse de la victoire donc le sous titre ça va pas <img data-src=" />

votre avatar

Comme l’a dit LeJediGris, ils sont russes, donc probablement qu’ils n’ont pas d’accords/d’ordre de foutre à la paix à la CIA.&nbsp;<img data-src=" />

votre avatar







LeJediGris a écrit :



Kapersky, c’est russe non ? donc à mon avis plus “sensible” au homologues moscovites de la CIA…<img data-src=" />







Vu la tournure de la phrase, ca peut effectivement vouloir dire “Méfiez-vous de Kaspersky, car cet antivirus remonte les menaces directement au FSB… Et le FSB va finir par comprendre ce qui se passe.”


votre avatar

pour le coup, avec ces fuites, ils se sont bien faits déesse de la victoire, la CIA <img data-src=" />

votre avatar

Référence à Athena, double-sens toussa&nbsp;<img data-src=" />

votre avatar







Vincent_H a écrit :



Référence à Athena, double-sens toussa <img data-src=" />







mouais on dira que ça passe parce que c’est lundi


votre avatar







Vincent_H a écrit :



Référence à Athena, double-sens toussa <img data-src=" />







CIA Saori.


votre avatar

<img data-src=" />

votre avatar

Bon, ben je vais rajouter une machine avec Kapersky. 4 suites de sécurité qui scannent en même temps tout un LAN, ça va être intéressant

votre avatar

Il y extrêmement peut de change que le malware en question existe sur l’une de tes machines, la CIA n’est pas la NSA ils font de l’espionnage ciblé

votre avatar

Pire sous-titre depuis janvier 2017.



😅😅👍

votre avatar

CIAnogen, CIAnure…



😅😂

Vault 7 : WikiLeaks s’attaque à Athena, plateforme d’espionnage de la CIA visant Windows

  • Athena montre des techniques bien rodées

  • Une plateforme conçue pour viser Windows XP à 10

  • Discrétion exigée

  • Un travail commun avec une entreprise de cybersécurité

  • Quel risque pour les utilisateurs ?

Fermer