Après un week-end sous haute tension à cause du ransomware WannaCrypt, Wikileaks en remet une couche avec de nouvelles fuites sur les outils de la CIA. Dans le collimateur cette fois, AfterMidnight et Assassin, deux infrastructures permettant la prise de contrôle et le déploiement de malwares.
L’actualité de la sécurité est particulièrement riche actuellement, avec les révélations successives et hebdomadaires de Wikileaks sur les petits secrets de la CIA, dans une série de documents nommée « Vault 7 ». Les activités des agences de renseignement, largement pointées du doigt ces dernières années, trouvent un écho particulier depuis ce week-end à cause de WannaCrypt, un ransomware basé sur des outils dérobés à la NSA et publiés le mois dernier par les pirates de Shadow Brokers.
Dans le cas des fuites de Wikileaks, la situation est un peu différente, puisque l’organisation publie le plus souvent les documents et guides d’utilisation, non le code lui-même. Ce qui ne l’empêche de récidiver après Weeping Angel, Dark Matter, Marble ou encore Grasshopper. Cette fois, elle se penche sur deux frameworks que les agents de la CIA peuvent utiliser pour piloter à distance des machines spécifiquement attaquées.
Après minuit, quand vient la surveillance
Le premier se nomme AfterMidnight. Il s’agit d’une plateforme complète et modulaire d’espionnage pour les opérations de surveillance de la CIA. Rappelons à ce sujet que l’agence se focalise sur des cibles précises à l’étranger (en théorie), non sur la collecte de masse façon NSA, que cette dernière a encore récemment admise.
AfterMidnight est constitué de plusieurs composants, dont le principal est une DLL (Dynamic-Link Library) Windows, conçue pour rester en place. Le guide d’utilisation est riche d’enseignements à son sujet. On sait ainsi que cette DLL a pour mission de charger et exécuter des « Gremlins », en fait de mini-malwares aux tâches bien précises, qui vont de la surveillance d’aspects particuliers de la machine visée à la fourniture de services à d’autres Gremlins.
Le framework contient en outre un système Listening Post appelé Octopus, en fait un serveur Apache avec lequel communiquent les Gremlins en HTTPS. Ce serveur est de type « Command & Control » (C&C), dans la mesure où il sert de relais pour transmettre les ordres. Les Gremlins vérifient ainsi leur connectivité avec Octopus à intervalles réguliers, pour récupérer d’éventuelles tâches en attente.
S’ils en trouvent, tous les composants nécessaires sont téléchargés et stockés localement sur la machine infectée. Tous ces éléments sont chiffrés avec une clé qui, elle, est uniquement en possession des agents et n’est donc pas enregistrée sur l’ordinateur.
AfterMidnight est hautement modulaire et semble pouvoir s’adapter à de nombreuses situations. Le guide d’utilisation permet de planifier une opération complète en apprenant aux agents comment paramétrer AfterMidnight, planifier des tâches, définir les Gremlins à charger, comment les déployer, modifier les réglages, disparaître d’une machine, etc.
L’ensemble du framework est quoi qu’il en soit tourné vers la surveillance d’activité et la récupération. AfterMidnight semble avoir été conçu pour être l’équivalent d’une écoute téléphonique pour un ordinateur.
Assassin, le crédo de la CIA
L’autre framework, Assassin, a globalement les mêmes ambitions qu’AfterMidnight, mais ne procède pas de la même manière.
Là encore, le guide est particulièrement clair. Assassin est ainsi constitué de quatre briques élémentaires. L’implant est ainsi le composant placé sur la machine à surveiller et fournit « les fonctionnalités et la logique centrales ». Il est obligatoirement constitué d’un exécutable, et peut être accompagné par un second, dédié au déploiement. Les deux sont bâtis pour la deuxième brique, le Builder qui sert, comme son nom l’indique, à construire l’attaque. D’après le guide, on trouve même un assistant (Wizard) pour aider l’opérateur pendant le processus.
Les deux autres composants sont le sous-système C&C et le Listening Post, ce dernier servant encore une fois de relais. Il agit comme une balise que l’implant pourra vérifier selon un rythme défini afin d’y récupérer une éventuelle liste de tâches.
Dans les grandes lignes, la finalité d’Assassin est la même que pour AfterMidnight : dérober des informations. Le framework adopte par contre une technique différente, passant par un exécutable (32 ou 64 bits) pouvant enregistrer un ou plusieurs services Windows sur le PC.
Dans une autre présentation, a priori fournie à des fins d’apprentissage en « classe », on peut voir à partir de la page 10 comment les opérateurs peuvent utiliser Assassin. On trouve notamment la conception des lots de commandes (batch), l’exportation des données vers des fichiers XML, la récupération ou l’installation d’un fichier particulier dans l’unité de stockage, etc.
La simple suite des fuites précédentes
AfterMidnight et Assassin sont tous deux des exemples parfaits des activités de la CIA. Des outils très probablement situationnels qui seront utilisés non pas de manière systématique, mais bien en fonction des paramètres d’une mission.
Les deux frameworks poursuivent des objectifs similaires et les documents n’indiquent pas ce qui les différencie véritablement, en dehors de leurs approches techniques différentes. On peut raisonnablement estimer que ce sont justement ces différences qui permettent de choisir l’une ou l’autre en fonction des tâches à accomplir, en tenant compte par exemple des caractéristiques de la machine à infecter.
Il n’est pas impossible en outre qu’AfterMidnight et Assassin aient tous deux besoin d’une faille à exploiter pour entrer dans les ordinateurs ciblés, ou d’un accès physique, cette seconde approche étant la plus courante dans les outils vus jusqu’ici. Dans le premier cas cependant, on se retrouverait encore une fois devant le délicat sujet du stockage des failles, que Microsoft a violemment critiqué ce week-end, suite à la vague de problèmes engendrés par WannaCrypt.
Commentaires (23)
#1
Microsoft a plus qu’a patcher ça, mais aux labos de la CIA/NSA ça y va niveau exploits/surveillance !
#2
A la place de la CIA, j’aurais renommé Assassin en SleepingCell.
Par contre j’aime bien AfterMidnight/Gremlins… (Don’t feed the gremlins after midnight). " />
#3
Pas sur que y’ait quoique ce soit à patcher là, comme dit dans l’article.
Ces outils se contentent d’executer des choses avec les droits de l’utilisateur qui est en général administrateur de son poste perso, d’où le besoin d’accès physique ou de trouver une faille pour livrer le contenu.
#4
Bientôt exploité par des groupes criminels a travers le monde pour concevoir des malware comme pour WannaCry
#5
Idem, j’aimbe bien afterMidnight/gremlins. " />
Bon sauf qu’en général en dehors de guismo les gremlins c’est plus là pour foutre la merde qu’être discret. " />
Ils semblent pas être membre du CCC visiblement vu qu’ils ont copié les CC. " /> (Comité des Chats pour la référence)
#6
#Les adminsys vont encore bosser jusqu’à pas d’heure le week end pour pousser en urgence des patchs de secu. :(
#7
#8
#9
Au mieux on parlera du méchant groupe Shadow Brokers qui a vole les “outils” de la NSA.
#10
Que les services secrets aient ce type d’outil semble logique et ils ne s’en servent pas pour diffuser des ransomware dans les hôpitaux.
Pour moi la responsabilité revient à ceux qui ont diffusé publiquement le code dans l’unique but de “faire chier” les Américains (trololol) sans se responsabiliser face aux conséquences potentielles.
Si l’objectif était de dénoncer des méthodes de la NSA ou un truc dans l’intérêt du public, la diffusion du code complet n’était pas nécessaire.
#11
#12
Ce comportement de WikiLeaks en plein WannaCry ne va pas leur faire d’amis….
Mais bon ça fait un moment que de chevalier blanc WikiLeaks prends des allures de suppôt du Kremlin. Jamais de révélations sur le FSB, toujours sur la CIA ….
#13
Supposons que des enemi des US volent un stock de leurs nouvelles armes secrètes et décident de les distribuer gratuitement à l’entrée du marché..
Si des groupes criminels s’en servent alors contre la population la responsabilité revient à ceux qui ont distribué ces armes à n’importe qui au lieu de par ex. communiquer à ce sujet et dénoncer leur existence, ou de les garder pour eux.
#14
#15
Une comparaison plus juste serait :
#16
Il est connu et reconnu que les services secret américains n’agissent que dans leurs propres intérêts…
#17
#18
“Dans le cas des fuites de Wikileaks, la situation est un peu différente,
puisque l’organisation publie le plus souvent les documents et guides
d’utilisation, non le code lui-même.”
Wikileaks ne publie pas le code source mais uniquement les documents et guides d’utilisations. C’est écrit dans l’article.
#19
#20
On t’attend, donne tes informations sur le Kremlin " />
#21
Idem, on attend tes infos sur le FSB " />
#22
Oui enfin c’est la 8e semaine consécutive, et ils avaient prévenu que les nouvelles informations arriveraient sur un rythme hebdomadaire.
#23
S’ils ont les infos de la CIA, je vois pas en quoi chopper des infos du FSB serait plus difficile.