Tweet
The EquationGroup et la National Security Agency
I – Introduction
Le 13 août dernier, deux archives chiffrées, contenant des outils de piratage qui appartiendraient à The Equation Group, une prétendue entité en relation avec la NSA, ont été rendues publiques via différentes plateformes comme GitHub, Tumblr, Twitter sur Internet.
Le groupe de pirates qui a réussi cet exploit se nomme The Shadow Brokers. Il a dévoilé deux archives, une où le mot de passe a été rendu public et une autre, où celui-ci est gardé secret intentionnellement.
Le motif pécuniaire de cette exposition publique est rapidement apparu. En effet, le groupe de pirates a fait savoir que d’autres fichiers, différents des archives déjà exposées, seront partagés publiquement si l’enchère atteint 1 Million de Bitcoins, ce qui représente au cours actuel de cette monnaie virtuelle, environ 1 demi-milliard de dollars.
L’information est un choc dans le monde de la sécurité informatique, immédiatement les différents médias s’enflamment. Des questions émergent alors des différents Tweets et articles sur The Equation Group et le contenu partagé publiquement :
- Qui est The Equation Group, est-il vraiment affilié à la NSA ?
- Pourquoi ses archives sont-elles si intéressantes ?
- Pourquoi associer ces fichiers avec The Equation Group et la NSA ?
D’autres se questionnent à propos du groupe derrière cette publication:
- Qui se cache derrière The Shadow Brokers ?
- D’où viennent-ils ? Sont-ils vraiment russes ?
- Est-ce un coup de la Russie ou juste une opération médiatique ?
- Possèdent-ils encore d’autres fichiers ?
- Pourquoi ce prix si exorbitant ?
Enfin, que contiennent les archives partagées par The Shadow Brokers ?
II – The Equation Group, une unité dissimulée de la NSA ?
Selon Kaspersky, The Equation Group aurait commencé ses activités durant l’année 1996. Il aurait été sûrement créé par le GCHQ (Governement Communications Headquearters Britanic), mais nous ne disposons ni de certitudes ou d’information sur celui-ci, ni même sur la composition de cette équipe.
Selon Kaspersky, ce groupe utilise des méthodes très sophistiquées d’implémentation du chiffrement (algorithmes RC5 et RC6) dans les programmes qu’il a conçus.
https://securelist.com/files/2015/02...nd_answers.pdf
Quelles sont leurs activités ?
The Equation Group est connu par plusieurs outils sophistiqués comme le ver Fanny (https://securelist.com/blog/research...ather-stuxnet/ ) qui exploite deux 0Day du malware Stuxnet pour se propager en utilisant Stuxnet, LNK et les clés USB.
Un autre outil puissant utilisé est le module connu sous le nom de : ‘nls_933w.dll’ permettant de reprogrammer le firmware des disques de plus d’une douzaine de marques telles que Seagate, Maxtor, IBM…
Quelles sont les cibles visées ?
Le groupe aurait infecté des dizaines de milliers d’ordinateurs, spécifiquement des contrôleurs de domaines, des datacenters et des hébergeurs. Ses victimes se situent à travers le monde : Afghanistan, Belgique, États-Unis, France, Russie, etc.
Toutes ces infections ont été constatées dans des secteurs clés comme la recherche, les gouvernements, le militaire, les opérateurs de télécommunications, l’aérospatial et l’énergie.
Cependant, nous ne pouvons fixer de chiffres car les outils utilisés possèdent des fonctions de camouflage et de remise en l''’état très perfectionnées. Cela laisse donc supposé que d’autres cibles ne sont pas encore répertoriées.
III – Qui est The Shadow Brokers
Un nom tiré d’un jeu vidéo ?
Qui sont les chevaliers noirs dans l'ombre qui ont osé s’attaquer à la NSA ? Leur nom est tiré du jeu ‘'Mass Effect'. En effet, The Shadow Broker est le chef d’une organisation revendant des informations aux plus offrants. Le rapprochement est alors facile à faire entre les activités du groupe et le personnage du jeu vidéo.
Il s’agit là d'une belle prouesse que d'avoir attaqué cette unité, mais surtout de compétences poussées dans le domaine et l’aide d’un état probablement. On suppose que cette attaque serait appuyée Russie. La méfiance reste de mise car à chaque cyberattaque contre les USA, la Russie a bon dos, sachant qu’e le groupe a signé son attaque en utilisant un anglais approximatif. S'agirait-il d’un stratagème pour éloigner les vrais coupables et en accuser d'autres ou bien est-ce des relents de guerre froide ?
Selon James Bamford, un spécialiste américain, la Russie n’a jamais rendu publique cette attaque et qu'il faudrait peut-être chercher les coupables au sein même de la NSA parmi ses employés. L'agence serait-elle encore une fois victime d'une taupe ?
Quoi qu'il en soit, l'identité de The Shadow Brokers reste encore une énigme.
IV – Le Leak
The Shadow Brokers a fourni des liens vers deux archives chiffrées.
La première contient 300 Mo d’exploits de pare-feu, d’outils et de scripts avec des noms tels que BANANAUSURPER, BLATSTING et BUZZDIRECTION. Le mot de passe de celle-ci a été fourni.
La deuxième archive quant à elle voit son mot de passe mis aux enchères. The Shadow Brokers demande un demi-milliard de dollars pour celui-ci. Ils le justifient par :
”Combien seriez-vous prêts à payer pour récupérer des armes ennemies ? Pas des logiciels malveillants comme on en trouve dans n’importe quel réseau… Nous avons mis la main sur des outils écrits par le groupe Equation, nous les avons piratés à la source. Et nous avons trouvé beaucoup, beaucoup de cyber armes.”
Edit du 03/10/2016 :
Un mois et demi après la fuite des outils de la NSA par les dénommés "Shadow Brokers" (CXA-2016-2696), le journal Reuters nous confirme l'origine de la fuite au travers d’un article. Il s'avère qu'il y a 3 ans de cela, après une opération de la NSA où ces fameux outils avaient été utilisés, un employé de l’agence aurait, par inadvertance, laissé les outils sur un serveur distant.
Les logiciels auraient ensuite été découverts par des pirates d’origine russe.
D’après les sources du journal, l’employé de la NSA ayant commis l’erreur aurait reconnu sa faute peu de temps après l’avoir commise.
Cependant, l’agence aurait décidé de ne pas informer les entreprises en danger. Elle aurait sauté sur l’occasion pour étendre sa stratégie en matière de renseignement au profit d’enjeux politiques extérieurs au pays : se concentrer sur la surveillance du trafic, intercepter d’éventuelles utilisations de leurs outils par des pays rivaux, identifier leurs cibles et les aider à se défendre si cela leur est profitable.
https://theintercept.com/2016/08/19/...ments-confirm/
Auteurs: @gohy , L'OMBRE & @_47
Commentaire