Freedom Host : Le SAIC à l’origine de l’injection de code javascript malicieux

Via CryptoCloud et Baneki Privacy Labs :

Le service de VPN CryptoCloud ainsi que des activistes de Baneki (forum ici) ont effectués quelques recherches autour de l’IP 65.222.202.53 qui est utilisée comme command and control par le malware dé-anonymisant Magneto chargé via l’exploitation d’une faille Firefox qui touche le Tor Browser Bundle (TBB).

Le code javascript qui exploite cette faille a été injecté dans les pages de Freedom Host comme indiqué dans la précédente news.

Le malware, du type CIPAV, est comme on pouvait s’en douter très simple à l’instar du document stealer décrit dans le dernier LOTFREE.

Quoiqu’il en soit, l’IP fait partie d’un bloc d’adresse qui est sous le contrôle du SAIC, un contracteur de la défense américaine qui est dans les beaux papiers du DoD, du Pentagone et de la NSA.
Le SAIC ne vous dit peut-être rien mais ce sont eux qui avaient à l’époque récupéré le contrat pour le projet Trailblazer qui vous parle peut-être plus.

Même si rien n’a encore été prouvé, on peut deviner que le SAIC a dû toucher le jackpot pour cracher un pauvre exploit pour un navigateur outdated et un exécutable Windows de quelques lignes de code…

Article de Ars Technica
Discussion sur HN.

2 réflexions au sujet de « Freedom Host : Le SAIC à l’origine de l’injection de code javascript malicieux »

Les commentaires sont fermés.