Après un week-end sous haute tension à cause du ransomware WannaCrypt, Wikileaks en remet une couche avec de nouvelles fuites sur les outils de la CIA. Dans le collimateur cette fois, AfterMidnight et Assassin, deux infrastructures permettant la prise de contrôle et le déploiement de malwares.

L’actualité de la sécurité est particulièrement riche actuellement, avec les révélations successives et hebdomadaires de Wikileaks sur les petits secrets de la CIA, dans une série de documents nommée « Vault 7 ». Les activités des agences de renseignement, largement pointées du doigt ces dernières années, trouvent un écho particulier depuis ce week-end à cause de WannaCrypt, un ransomware basé sur des outils dérobés à la NSA et publiés le mois dernier par les pirates de Shadow Brokers.

Dans le cas des fuites de Wikileaks, la situation est un peu différente, puisque l’organisation publie le plus souvent les documents et guides d’utilisation, non le code lui-même. Ce qui ne l’empêche de récidiver après Weeping Angel, Dark Matter, Marble ou encore Grasshopper. Cette fois, elle se penche sur deux frameworks que les agents de la CIA peuvent utiliser pour piloter à distance des machines spécifiquement attaquées.

Après minuit, quand vient la surveillance

Le premier se nomme AfterMidnight. Il s’agit d’une plateforme complète et modulaire d’espionnage pour les opérations de surveillance de la CIA. Rappelons à ce sujet que l’agence se focalise sur des cibles précises à l’étranger (en théorie), non sur la collecte de masse façon NSA, que cette dernière a encore récemment admise.

AfterMidnight est constitué de plusieurs composants, dont le principal est une DLL (Dynamic-Link Library) Windows, conçue pour rester en place. Le guide d’utilisation est riche d’enseignements à son sujet. On sait ainsi que cette DLL a pour mission de charger et exécuter des « Gremlins », en fait de mini-malwares aux tâches bien précises, qui vont de la surveillance d’aspects particuliers de la machine visée à la fourniture de services à d’autres Gremlins.

Le framework contient en outre un système Listening Post appelé Octopus, en fait un serveur Apache avec lequel communiquent les Gremlins en HTTPS. Ce serveur est de type « Command & Control » (C&C), dans la mesure où il sert de relais pour transmettre les ordres. Les Gremlins vérifient ainsi leur connectivité avec Octopus à intervalles réguliers, pour récupérer d’éventuelles tâches en attente.

S’ils en trouvent, tous les composants nécessaires sont téléchargés et stockés localement sur la machine infectée. Tous ces éléments sont chiffrés avec une clé qui, elle, est uniquement en possession des agents et n’est donc pas enregistrée sur l’ordinateur.

AfterMidnight est hautement modulaire et semble pouvoir s’adapter à de nombreuses situations. Le guide d’utilisation permet de planifier une opération complète en apprenant aux agents comment paramétrer AfterMidnight, planifier des tâches, définir les Gremlins à charger, comment les déployer, modifier les réglages, disparaître d’une machine, etc.

L’ensemble du framework est quoi qu’il en soit tourné vers la surveillance d’activité et la récupération. AfterMidnight semble avoir été conçu pour être l’équivalent d’une écoute téléphonique pour un ordinateur.

Assassin, le crédo de la CIA

L’autre framework, Assassin, a globalement les mêmes ambitions qu’AfterMidnight, mais ne procède pas de la même manière.

Là encore, le guide est particulièrement clair. Assassin est ainsi constitué de quatre briques élémentaires. L’implant est ainsi le composant placé sur la machine à surveiller et fournit « les fonctionnalités et la logique centrales ». Il est obligatoirement constitué d’un exécutable, et peut être accompagné par un second, dédié au déploiement. Les deux sont bâtis pour la deuxième brique, le Builder qui sert, comme son nom l’indique, à construire l’attaque. D’après le guide, on trouve même un assistant (Wizard) pour aider l’opérateur pendant le processus.

Les deux autres composants sont le sous-système C&C et le Listening Post, ce dernier servant encore une fois de relais. Il agit comme une balise que l’implant pourra vérifier selon un rythme défini afin d’y récupérer une éventuelle liste de tâches.

Dans les grandes lignes, la finalité d’Assassin est la même que pour AfterMidnight : dérober des informations. Le framework adopte par contre une technique différente, passant par un exécutable (32 ou 64 bits) pouvant enregistrer un ou plusieurs services Windows sur le PC.  

Dans une autre présentation, a priori fournie à des fins d’apprentissage en « classe », on peut voir à partir de la page 10 comment les opérateurs peuvent utiliser Assassin. On trouve notamment la conception des lots de commandes (batch), l’exportation des données vers des fichiers XML, la récupération ou l’installation d’un fichier particulier dans l’unité de stockage, etc.

La simple suite des fuites précédentes

AfterMidnight et Assassin sont tous deux des exemples parfaits des activités de la CIA. Des outils très probablement situationnels qui seront utilisés non pas de manière systématique, mais bien en fonction des paramètres d’une mission.

Les deux frameworks poursuivent des objectifs similaires et les documents n’indiquent pas ce qui les différencie véritablement, en dehors de leurs approches techniques différentes. On peut raisonnablement estimer que ce sont justement ces différences qui permettent de choisir l’une ou l’autre en fonction des tâches à accomplir, en tenant compte par exemple des caractéristiques de la machine à infecter.

Il n’est pas impossible en outre qu’AfterMidnight et Assassin aient tous deux besoin d’une faille à exploiter pour entrer dans les ordinateurs ciblés, ou d’un accès physique, cette seconde approche étant la plus courante dans les outils vus jusqu’ici. Dans le premier cas cependant, on se retrouverait encore une fois devant le délicat sujet du stockage des failles, que Microsoft a violemment critiqué ce week-end, suite à la vague de problèmes engendrés par WannaCrypt.