Connexion
Abonnez-vous

Wikileaks : plongée dans Grasshopper, l’outil de la CIA derrière ses fausses applications Windows

Satanée sauterelle

Wikileaks : plongée dans Grasshopper, l'outil de la CIA derrière ses fausses applications Windows

Le 10 avril 2017 à 13h30

Wikileaks a publié une nouvelle série de documents Vault 7 sur les techniques employées par la CIA pour l’espionnage. Cette fois, place à Grasshopper, une trousse à outils pour créer de fausses versions (vérolées) d’applications Windows.

La diffusion de Vault 7 continue sur un rythme pratiquement hebdomadaire. Wikileaks semble avoir choisi le vendredi soir comme rendez-vous pour publier ses documents internes à la CIA, montrant comment l’agence procède pour infecter différents types d’appareils.

Les premières publications ont provoqué de très nombreuses réactions. On se souvient notamment que des dizaines de failles étaient révélées, provoquant un agacement visible chez certaines entreprises, dont Apple... Même si ces vulnérabilités étaient en bonne partie déjà corrigées. Plus récemment, Wikileaks s’est penché sur Marble, un ensemble d’outils conçus pour masquer la vraie provenance d’une attaque, voire la réorienter vers un autre pays.

Une sauterelle bien malveillante

Dans la publication des tout premiers documents, Wikileaks avait notamment abordé la modification d’applications Windows en vue d’infecter des ordinateurs, si tant est que l’agent responsable de la mission ait un accès physique à la machine. Des éditeurs comme VideoLAN ou Notepad++avaient réagi et modifié leurs logiciels pour s’adapter à cette menace, qui ne reposait toutefois pas sur des failles de sécurité.

À l’époque, Wikileaks n’en disait finalement que peu sur cette activité. L’organisation revient à la charge, cette fois de manière détaillée et avec un nom : Grasshopper (« sauterelle » en anglais). Ils s‘agit d’un framework, c’est-à-dire une structure complète, dédié à la fabrication de logiciels comportant une ou plusieurs fonctions malveillantes.

Grasshopper est, comme Marble, une collection d’outils. Il intègre en plus toute une bibliothèque de conseils et de guides d’utilisation. Dans les documents fournis par Wikileaks, on trouve notamment de vrais tutoriels pour prendre le technicien par la main et le guider étape par étape vers ce qui pourrait l’intéresser. S’y trouvent également des conseils généraux sur les installeurs, sur l’évasion face aux antivirus…

Enrichie par des versions successives

Grasshopper est clairement un projet au long cours pour la CIA puisqu’une série de mises à jour a renforcé ses capacités. La dernière mouture évoquée par Wikileaks est la 2.0.2, mais on trouve la mention d’un guide d’administration de la version 1.1, datant du 1er décembre 2013. Il faut donc supposer que le développement continue et que le framework est constamment mis à jour, pour s'adapter aux évolutions de Windows ou aux techniques de développement et de détection.

Dans le guide d’utilisation de Grasshopper 2.0.2, le ton est rapidement donné : « L’opérateur configure un exécutable pour installer une ou plusieurs charges en utilisant une kyrielle de techniques. Chaque installeur de charge est bâti depuis des composants individuellement configurés, chargés chacun d’une partie de la procédure d’installation ». Chacun de ces modules peut d’ailleurs générer un journal d’évènements qui peut être exfiltré par la suite.

Une « kyrielle » d’aspects à prendre en compte pour le développeur

La principale force de Grasshopper c’est son aspect tout-en-un. Toutes les facettes d’une attaque sont prises en compte, de l’installation à la récupération des données. Si la documentation de la CIA insiste tant sur l’installation, c’est qu’il s’agit d'une étape critique exigeant de berner différentes défenses. L'enjeu ? Que le logiciel apparaisse comme légitime. Dans le cas de VideoLan, ce point névralgique résidait par exemple au niveau du certificat de sécurité.

Cette documentation mentionne par ailleurs d’autres composants, qui sont soit des points particuliers nécessitant des explications complémentaires, soit des outils. On va par exemple trouver des informations précises sur la gestion des DLL (Dynamic Link Library) – les bibliothèques de fonctions sous Windows – la planification des tâches ou encore l’utilisation d’un serveur proxy.

La CIA a puisé directement le code source de malwares existants

L’Agence n’a pas forcément cherché à redévelopper la roue.  Lorsqu’elle cible par exemple les MacBook et l’iPhone, la CIA n’hésite pas à reprendre du code déjà disponible quand elle peut en tirer avantage.

Sur la même veine, on découvre que Stolen Goods 2 est « un module de persistance pour Grasshopper, basé sur un malware tiers ». Ses composants s’inspirent de Carberp « un rootkit suspecté de provenir du crime organisé russe », en particulier sa « méthode de persistance, ainsi que des morceaux de l’installeur »

Dans le détail, Stolen Goods « maintient la persistance en installant un code IPL (Initial Program Loader) personnalisé trouvé dans le VBR (Volume Boot Record) ». Une telle incrustation permet de charger un pilote (module Wheat) dans Windows visant à maintenir en place l’exécution de code. Inspiré là encore de Carberp, ce bout de code a été modifié par les ingénieurs de la CIA. La persistance est assurée au final par la combinaison avec une DLL. Détail croustillant : ce pilote n’a même pas besoin d’être signé, même sur un Windows 64 bits qui contient pourtant davantage de défenses.

Persistance dans la mémoire

Grasshopper ne se limite pas à une seule technique pour s’assurer que le logiciel contaminé restera sur la machine. Le développeur de la CIA a pour lui différentes méthodes, qu'il peut combiner selon les scénarios.

Si Wheat installe par exemple un pilote à charger durant la chaine de démarrage, il peut être ainsi accompagné de :

  • Crab : peut prendre un exécutable ou une DLL pour en faire un service actif sous Windows
  • WUPS : capable d’utiliser le service Windows Update pour s’en servir de vecteur d’infection
  • Bermuda : plus simple, utilise une tâche planifiée de Windows pour assurer la persistance
  • Netman : comme son nom l’indique, se sert du Network Connections Manager Service pour ses opérations

Grasshopper, la grande évasion

L’une des caractéristiques de la sauterelle de la CIA est qu’elle est visiblement douée pour s’évader des mécanismes de défense et de détection.

Wikileaks résume au sein d’une page ses capacités, classées par système d’exploitation et par solution antivirale. Ces résultats datent de décembre 2014 et ne sont donc pas à jour, mais on y voir les tests réalisés sur Windows, de XP à 8.1 x64, réussissant la plupart des opérations sur un système protégé par Security Essentials de Microsoft, Symantec Endpoint ou encore Kaspersky Antivirus.

Ce que Grasshopper sait faire aujourd’hui est difficile à savoir. Il faut supposer que le travail a continué et que les techniques ont été affinées pour prendre en charge Windows 10, que ce soit sur des machines 32 ou 64 bits.  Le fait que l’installeur puisse se faufiler même à travers plusieurs antivirus en dit long sur les ressources investies par la CIA dans son framework.

Que retenir de Grasshopper ?

Pour l’instant, la fuite la plus dangereuse pour la CIA à ce jour reste Marble. Exposer les méthodes d’obscurcissement de l’agence et sa capacité à se faire passer pour d’autres représente un risque bien plus important que les techniques utilisées pour créer de faux logiciels Windows.

Cependant, même si on tient compte du caractère particulier de ces travaux, utilisés dans le cadre d’attaques ciblées, ces informations restent importantes. Comme à chaque fois, les éditeurs concernés vont se pencher sur ces révélations, tous comme les pirates. Le fait d’aborder le fonctionnement de Grasshopper et de ses modules de persistance pourrait également mener vers un renforcement global de la sécurité et une invalidation partielle des techniques employées.

Il faut cependant garder en mémoire que, puisque l’on parle ici d’attaques avec accès physique à la machine, il est délicat d’envisager une fermeture complète d’un système. Dans le cas de Windows, on parle de PC aux configurations matérielles et logicielles se déclinant presque à l’infini et laissant donc accès à une surface d’attaque variable. Pour peu que la victime n’ait pas de grandes connaissances techniques, le malware peut assurer très simplement sa discrétion, et agir en toute impunité.

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

c’est la joie avec la CIA… plein de façons de s’éclater et de se faire éclater d’ailleurs !!! <img data-src=" />

votre avatar

Faut quand même admettre que l’outil est au top

votre avatar

je me demande si ces trucs auraient pu servir a créer des PC Zombies <img data-src=" />

votre avatar

Pardonnez ma crédulité, mais les états victime ne devraient-ils pas prendre leur courage à deux mains et enfin demander des comptes aux USA ?

Quand je vois des entreprises/états capables de faire des procès à d’autres états (ex: Redbull vs la France pour ne plus interdire leur p…boisson, ou encore le Canada vs la France à propos de l’amiante, y’a plein d’exemples), pourquoi ne défend t-on pas les intérêts des citoyens & états victimes de ce type d’activités normalement répréhensibles ? C’est clairement une agression contre les citoyens, les gouvernements, les entreprises…, en fait tout :p

votre avatar

Doivent être content chez Microsoft en plus de la mauvaise pub avec les virus ces outils devaient rendre instable l’OS devraient les attaquer en justice

votre avatar







grosbidule a écrit :



Pardonnez ma crédulité, mais les états victime ne devraient-ils pas prendre leur courage à deux mains et enfin demander des comptes aux USA ?

Quand je vois des entreprises/états capables de faire des procès à d’autres états (ex: Redbull vs la France pour ne plus interdire leur p…boisson, ou encore le Canada vs la France à propos de l’amiante, y’a plein d’exemples), pourquoi ne défend t-on pas les intérêts des citoyens & états victimes de ce type d’activités normalement répréhensibles ? C’est clairement une agression contre les citoyens, les gouvernements, les entreprises…, en fait tout :p





Bien d’accord


votre avatar







grosbidule a écrit :



Pardonnez ma crédulité, mais les états victime ne devraient-ils pas prendre leur courage à deux mains et enfin demander des comptes aux USA ?

Quand je vois des entreprises/états capables de faire des procès à d’autres états (ex: Redbull vs la France pour ne plus interdire leur p…boisson, ou encore le Canada vs la France à propos de l’amiante, y’a plein d’exemples), pourquoi ne défend t-on pas les intérêts des citoyens & états victimes de ce type d’activités normalement répréhensibles ? C’est clairement une agression contre les citoyens, les gouvernements, les entreprises…, en fait tout :p





<img data-src=" /> Il est tout autant facile pour Redbull d’attaquer la France qui établie ses lois aux yeux de tous qu’il est difficile pour un pays de prouver quel état se cache derrière une attaque (si j’ai bien compris qu’il y a des techniques pour se cacher et faire accuser un autre). <img data-src=" /> <img data-src=" />


votre avatar

Je pense que nos pays sont au courant. D’après le 5 eyes, 9 eyes et 14 eyes agreement (Wikipedia), les pays s’espionnent les uns les autres et partagent leurs informations, permettant de contourner les lois interdisant l’espionnage de leurs concitoyens. L’Allemagne a reconnu dernièrement avoir arrêté des terroristes sur base des informations fournies par les Americains. La Belgique aussi, je pense. Tout ça n’est pas prêt de changer.

votre avatar







Lodhar a écrit :



Je pense que nos pays sont au courant. D’après le 5 eyes, 9 eyes et 14 eyes agreement (Wikipedia), les pays s’espionnent les uns les autres et partagent leurs informations, permettant de contourner les lois interdisant l’espionnage de leurs concitoyens. L’Allemagne a reconnu dernièrement avoir arrêté des terroristes sur base des informations fournies par les Americains. La Belgique aussi, je pense. Tout ça n’est pas prêt de changer.





En effet, être allié n’empêche pas de s’espionner un peu, pour diverses raisons. Jacques Raillane (pseudo d’un ancien de la DGSE) explique ça très bien dans un de ses billets.

Même la France procède à de l’espionnage économique aux US, des agents se sont déjà fait expulser, ils espionnaient des sociétés hi-tech au Texas dans les années 70 ou 80.


votre avatar







grosbidule a écrit :



Pardonnez ma crédulité, mais les états victime ne devraient-ils pas prendre leur courage à deux mains et enfin demander des comptes aux USA ?









BrainBSOD a écrit :



Bien d’accord





C’est une vision bien naïve de la raison d’être des services secrets.

L’espionnage entre pays alliés n’a rien de nouveau, et la France s’en est toujours accommodée (sauf quelques exemples qui ont parfois débordé dans le public).


votre avatar

Non, ce n’est pas naïf, je sais bien que l’espionnage est de mise

depuis longtemps, mais il est peut être temps de protester contre ces

pratiques qui ont probablement explosé avec l’avènement du numérique.

Le numérique est devenu l’occasion de tester plein de nouvelles façons de s’en prendre à notre vie privée, or cet aspect particulier (car dématérialisé et très automatisé) n’est pas une excuse pour autant. Ca s’étend biensûr à plein d’autres choses : tracking à outrance, etc.

votre avatar







OlivierJ a écrit :



C’est une vision bien naïve de la raison d’être des services secrets.

L’espionnage entre pays alliés n’a rien de nouveau, et la France s’en est toujours accommodée (sauf quelques exemples qui ont parfois débordé dans le public).



On s’en&nbsp;est accommodée mais les temps changent les USA ne sont plus ce qu’ils&nbsp;étaient, il est temps de trouver de nouveaux alliés de mon point de vue&nbsp;


votre avatar







grosbidule a écrit :



Non, ce n’est pas naïf, je sais bien que l’espionnage est de mise depuis longtemps, mais il est peut être temps de protester contre ces pratiques qui ont probablement explosé avec l’avènement du numérique.

Le numérique est devenu l’occasion de tester plein de nouvelles façons de s’en prendre à notre vie privée, or cet aspect particulier (car dématérialisé et très automatisé) n’est pas une excuse pour autant. Ca s’étend biensûr à plein d’autres choses : tracking à outrance, etc.





Tu confonds 2 choses qui n’ont que peu à voir : l’espionnage par les services secrets et la collecte de données légales par les grandes boîtes du Web.

Les services secrets ne recherchent pas les mêmes choses.







BrainBSOD a écrit :



On s’en est accommodée mais les temps changent les USA ne sont plus ce qu’ils étaient, il est temps de trouver de nouveaux alliés de mon point de vue





En quoi ils ne sont plus ce qu’ils étaient ?

Ils sont nos alliés depuis toujours et ça n’a pas changé. Leurs services secrets nous apportent de l’aide dans des cas où on a besoin d’eux (et on leur fournit aussi car les services français sont réputés mine de rien), par exemple pour avoir certaines infos sur des otages en Afrique, via les écoutes.


votre avatar







grosbidule a écrit :



Non, ce n’est pas naïf, je sais bien que l’espionnage est de mise depuis longtemps, mais il est peut être temps de protester









BrainBSOD a écrit :



On s’en est accommodée mais les temps changent les USA ne sont plus ce qu’ils étaient





Pour que vous compreniez encore mieux, c’est expliqué par un ancien analyste de la DGSE :



http://aboudjaffar.blog.lemonde.fr/2013/07/01/imbeciles/



[…] On le sait, en démocratie, tout le monde n’a pas le droit de surveiller le territoire national. En France, cette mission est confiée à des administrations parfaitement encadrées (DGPN, DGGN, DCRI, DPSD, DNRED, TRACFIN), le reste du vaste du monde est scruté par la DGSE et la DRM. Je pense, ici, qu’il faut être particulièrement clair et lister quelques vérités qui devraient pourtant être connues et comprises de tous, en particulier de ceux censés nous diriger :



– Il n’y a quasiment pas d’ami dans le monde du renseignement.



– Dans ce monde, allié ne veut pas dire ami.



– On espionne toujours le plus possible.



– Les lois qui régissent le renseignement intérieur ne concernent pas le renseignement extérieur.



Du coup, à partir de ces quelques idées simples, il est possible de préciser que les services européens s’espionnent entre eux et que les autorités allemandes, par exemple, feraient bien de ne pas trop la ramener…

[…]



Le fait d’être des alliés politiques et militaires et d’entretenir des relations de confiance depuis des décennies, malgré des désaccords parfois profonds, n’empêche pas la compétition industrielle et économique. Inutile de regarder vers Londres ou Washington, puisque l’exemple de Berlin est aussi parlant. La France et l’Allemagne, autoproclamées moteur de l’Europe, coopèrent dans certains programmes majeurs mais se concurrencent sans pitié sur d’autres (avions de chasse, blindés, nucléaire civil, transport ferroviaire) et bien naïf serait celui qui croirait que les décisions des uns et des autres ne sont prises que sur des considérations techniques.

[…]





Et dans cet autre billet, sur l’aide américaine (et le fait que la NSA est connue depuis bien longtemps, par ex bouquin paru en 1987) :



[…] Qu’a donc dit M. Fabius à l’ambassadeur des Etats-Unis, lorsqu’il l’a convoqué aujourd’hui ? Merci pour les écoutes téléphoniques que vous nous avez fournies sans discuter sur la Somalie quand deux de nos espions ont été capturés en 2009 ? Merci pour les localisations de Thuraya au Mali quand nous avons déclenché une guerre que nous pensions d’ailleurs avoir gagnée mais qui n’est pas finie ? Merci pour les frappes de drones au Pakistan et au Yémen contre les émirs d’Al Qaïda, de l’UJI et du TTP qui montent des projets d’attentat contre nous et que nous sommes infoutus de voir ? Oui, merci. […]



cfhttp://aboudjaffar.blog.lemonde.fr/2013/10/21/donny/


votre avatar







OlivierJ a écrit :



Pour que vous compreniez encore mieux, c’est expliqué par un ancien analyste de la DGSE :



http://aboudjaffar.blog.lemonde.fr/2013/07/01/imbeciles/



[…] On le sait, en démocratie, tout le monde n’a pas le droit de surveiller le territoire national. En France, cette mission est confiée à des administrations parfaitement encadrées (DGPN, DGGN, DCRI, DPSD, DNRED, TRACFIN), le reste du vaste du monde est scruté par la DGSE et la DRM. Je pense, ici, qu’il faut être particulièrement clair et lister quelques vérités qui devraient pourtant être connues et comprises de tous, en particulier de ceux censés nous diriger :



– Il n’y a quasiment pas d’ami dans le monde du renseignement.



– Dans ce monde, allié ne veut pas dire ami.



– On espionne toujours le plus possible.



– Les lois qui régissent le renseignement intérieur ne concernent pas le renseignement extérieur.



Du coup, à partir de ces quelques idées simples, il est possible de préciser que les services européens s’espionnent entre eux et que les autorités allemandes, par exemple, feraient bien de ne pas trop la ramener…

[…]



Le fait d’être des alliés politiques et militaires et d’entretenir des relations de confiance depuis des décennies, malgré des désaccords parfois profonds, n’empêche pas la compétition industrielle et économique. Inutile de regarder vers Londres ou Washington, puisque l’exemple de Berlin est aussi parlant. La France et l’Allemagne, autoproclamées moteur de l’Europe, coopèrent dans certains programmes majeurs mais se concurrencent sans pitié sur d’autres (avions de chasse, blindés, nucléaire civil, transport ferroviaire) et bien naïf serait celui qui croirait que les décisions des uns et des autres ne sont prises que sur des considérations techniques.

[…]





Et dans cet autre billet, sur l’aide américaine (et le fait que la NSA est connue depuis bien longtemps, par ex bouquin paru en 1987) :



[…] Qu’a donc dit M. Fabius à l’ambassadeur des Etats-Unis, lorsqu’il l’a convoqué aujourd’hui ? Merci pour les écoutes téléphoniques que vous nous avez fournies sans discuter sur la Somalie quand deux de nos espions ont été capturés en 2009 ? Merci pour les localisations de Thuraya au Mali quand nous avons déclenché une guerre que nous pensions d’ailleurs avoir gagnée mais qui n’est pas finie ? Merci pour les frappes de drones au Pakistan et au Yémen contre les émirs d’Al Qaïda, de l’UJI et du TTP qui montent des projets d’attentat contre nous et que nous sommes infoutus de voir ? Oui, merci. […]



cfhttp://aboudjaffar.blog.lemonde.fr/2013/10/21/donny/



je suis bien d’accord avec l’analyse et l’article, mais pour&nbsp;moi ces systèmes d’alliances doivent servir des idéologies et des “chemin&nbsp;d’avenir” l’ultralibéralisme et la régression écologique des USA le mènent a leur perte. Si être naïf c’est lié de nouvelles alliances avec des pays dont on pense qu’ils jouent un rôle mineur dans l’ordre mondiale, je veux bien l’être l’Ethiopie ou le Costa Rica par exemple, mais je veux croire que d’autres petit pays seraient prêt à suivre une voie plus vertueuse s’ils étaient soutenu par des plus gros. Et si ce pari sur l’avenir était gagnant, la France retrouverait cette “admiration” des autres qu’elle a perdu selon l’expression consacré “j’ai mal à ma France” donc je rêve :)


Wikileaks : plongée dans Grasshopper, l’outil de la CIA derrière ses fausses applications Windows

  • Une sauterelle bien malveillante

  • Enrichie par des versions successives

  • Une « kyrielle » d’aspects à prendre en compte pour le développeur

  • La CIA a puisé directement le code source de malwares existants

  • Persistance dans la mémoire

  • Grasshopper, la grande évasion

  • Que retenir de Grasshopper ?

Fermer