Archives du mot-clé NSA

Equation Group : les hackers de la NSA piratés

Tout a commencé avec le tweet d’un groupe baptisé TheShadowBrokers.
Dans un pastebin ils affirment avoir piraté l’équipe de hackers de la NSA que les firmes antivirales ont surnommé le Equation Group.

Les mystérieux hackers qui s’en prennent à la NSA ont publié un zip qui contient deux archives .tar.xz chiffrées par GPG.
L’une de ces archives est déchiffrable (le mot de passe est fournit) et contient des exploits et des softwares implants (à priori des images modifiées de firmwares pour y rajouter des backdoors) pour des firewalls et des routeurs Cisco, Junyper, WatchGuard, Fortigate
Une liste exhaustive des fichiers et leur rôle a été compilée ici.

L’un des exploits a été testé avec succès sur un Cisco ASA. Cisco s’est déjà penché sur les vulnérabilités en cause et des CVE sont déjà ouverts.

Pour les experts sécu les fichiers peuvent très bien provenir de la NSA : on connait leurs intérêts pour ce type d’équipements réseau depuis les révélations de Snowden et du code crypto présent dans l’archive de TheShadowBrokers aurait des similitudes avec du code déjà supposé lié à EquationGroup.
De plus certains noms de l’archive se retrouvent dans les documents leakés de la NSA révélés par Snowden.

La seconde archive chiffrée n’a pas de mot de passe connu, ce dernier fait l’objet d’une enchère. Les fichiers reviendront donc au propriétaire de Bitcoins le plus généreux.
TheShadowBrokers indique que s’il reçoit la somme d’un million de BTC (*cough* *cough*) les fichiers seront rendus publiques à tous.

Faut-il y voir une vrai enchère, une arnaque ou encore un rançonnage de la NSA ? L’enchère semble une vrai blague étant donné que toutes les transactions Bitcoins sont publiques. Et pour disposer d’un million de BTC il faudrait bien la force de calcul… de la NSA 😀
En tout cas des petits rigolos ont déjà envoyé des BTC à l’adresse de TheShadowBrokers pour les rickroller.

Un article complet sur cette histoire peut être lu chez RiskBasedSecurity.

La NSA dans l’ordinateur portable d’Angela Merkel

D’après une info du Spiegel reprise par TheRegister, l’ordinateur portable de la chancelière allemande Angela Merkel a eu la visite en 2014 d’une malware dérivé de Regin, une bestiole écrite par le groupe de hackers baptisé Equation de la NSA.

On savait déjà que la NSA mettait sur écoute téléphonique les dirigeants des pays « amis », on découvre maintenant qu’ils pénètrent leurs ordinateurs…

On espère seulement que les agents de la NSA ne sont pas tombés sur une sex-tape… 😀

Comment la NSA cracke la crypto des VPNs

Bien que les documents leakés par Snowden montrent que la NSA dispose de moyens techniques et financiers importants pour cracker la cryptographie utilisée pour les connexions VPNs, SSH et parfois HTTPs, aucun détail technique concernant cette exploit n’a été révélé.

Le blog Freedom for Tinker bien connu pour ses articles passionnants sur la cryptographie et la vie privée a publié un article traitant d’un document qu’ils ont coécrit sur la faisabilité de telles attaques qui doit correspondre à la méthode de la NSA.

Pour faire court les communications chiffrées ont très souvent recours à un échange de clé Diffie-Hellman, un algo conseillé dès qu’on veut faire un peu de crypto sérieuse. Seulement les implémentations existantes auraient tendance à ne se servir que d’une poignée de grand nombres premiers, toujours les même.

Du coup en concentrant ses billions de dollars et la puissance de ses supercalculateurs sur ces quelques nombres premiers la NSA serait sans doute parvenu à en casser un voir plus.
D’après l’article, avoir cassé ne serait-ce qu’un chiffre premier de 1024 bits permettrait de déchiffrer 2/3 des connexions VPNs…

WikiLeaks : la NSA a espionné les présidents français

Via Wikileaks, Mediapart :

L’information qui ne surprendra personne : après avoir mis sur écoute Angela Merkel, piraté avec les services britanniques un FAI belge ou espionné avec l’aide de l’Allemagne des entreprises françaises, la NSA continue son jeu-double et espionne depuis des années les conversations téléphoniques des présidents français.

Bien sûr les différents pays s’espionnent les uns les autres… Mais le gov français n’est-il alors pas coupable de négligence caractérisée et de défaut de sécurisation de ses moyens de communications ? Allez j’appelle la HADOPI 😀

Plongez-vous dans les QUANTUM INSERT

A lire chez FoxIT :

QUANTUMINSERT c’est le nom de code de la NSA pour un outil capable d’injecter des données dans une session TCP.

Le principe est de retourner un paquet de réponse avant qu’un serveur légitime le fasse mais en prenant bien sûr soin de copier des métadonnées du paquet (adresse IP source et destination, numéros de ports, numéro de séquence et ACK…) pour qu’il soit accepté par la victime.
Si le QUANTUMINSERT réussi l’attaquant a gagné la course de l’envoi de la réponse et la réponse légitime sera ignorée par la machine de la victime.

La Chine a montré qu’elle dispose de capacités similaires à l’aide de son Great Canon analysé par Citizen Lab.

FoxIT fournit des scripts Python permettant de réaliser ce type d’attaque via un moniteur (celui qui surveille les requêtes) et un shooter (celui qui forge les réponses).
Des enregistrements de trafic TCP et des règles pour des NIDS sont aussi disponibles.

L’Allemagne a aidé la NSA à surveiller des entreprises européennes dont EADS

 
D’après des documents récupérés par Der Spiegel, le Bundesnachrichtendienst (BND, les renseignements allemands) ont aidé la NSA à surveiller des politiciens et entreprises européennes, parfois même allemandes !

Les deux services ont une entente d’échange d’informations et de coups de mains qui fait que la NSA pouvait passer certaines informations comme des adresses IP, emails, numéros de téléphones et le BND retournait alors les informations dont il disposait liés à ces adresses.

Ça parait vraisemblable que le BND vérifie chaque identité trouvée derrière les informations demandées pour être sûr de ne pas divulguer d’informations sensibles… mais il n’en est rien.
En 2008 déjà le service se rend compte qu’il viole des lois nationales en fournissant des informations qu’il ne devrait pas.
Du coup en 2013, quand Edward Snowden révèle les systèmes de surveillance à grande échelle mis en place par la NSA, les incompétents du BND se disent que ce serait peut être mieux de regarder les identités qu’ils ont ainsi offerts jusqu’à présent à la NSA.

Il s’avère qu’ils ont ainsi dévoilés des informations sur 2000 personnes ou entités qui étaient sensibles au niveau européen (EADS) voire même national (politiques allemands).
Le BND n’a même pas jugé utile de prévenir la Chancelière… Ils avaient trop peur de se faire couper les tuyaux de la NSA.

Une enquête a finalement révélé que le nombre d’entités sensibles serait plus proche de 40.000 que de 2.000.
Çà sent le chomage pour certaines personnes du BND :p

Une voiture bélier a tenté de pénétrer la NSA

Via TheRegister :

Cet article du 30 mars (pas de poisson d’avril donc) relate un incident dont de nombreux points restent à élucider.

Lundi matin, deux hommes habillés en femme ont pénétré dans le QG de la NSA (le fameux Fort Meade à Maryland) à bord d’un Ford Explorer (gros SUV) et ont refusé de s’arrêter malgré la sécurité présente.

La sécurité à stoppé la voiture en tirant dessus : l’un des hommes est mort sur le coup, l’autre est blessé et a été transporté à l’hôpital.

Des armes et de la cocaïne ont été retrouvés dans le véhicule. (WTF?)

Equation Group : l’une des unités de hackers de la NSA

Via Ars Technica et Kaspersky :

Les chercheurs de chez Kaspersky ont pu mettre la main sur différents malwares utilisés dans des attaques ciblées.
Les malwares étaient parfois livrés sur des CD ou DVD commandées par la victime qui ne se doutait de rien : le CD ou DVD original est intercepté par la voie du courrier pour que les malwares soient ajoutés… Le colis reprend ensuite son trajet. Une méthode qui a déjà été employée contre une développeuse du projet Tor.

Ajouté à ça ces composants réutilisent des méthodes déjà observées dans Regin (l’utilisation de systèmes de fichiers virtuels) ou l’utilisation de failles 0-day qui ont ensuite été découvertes dans Stuxnet comme la faille LNK.

Ce qui amène Kaspersky à affirmer que les auteurs de Stuxnet et l’unité Equation Group sont deux entités distinctes c’est le fait que ces derniers semblent avoir recours à des techniques plus sophistiquées et que l’unité derrière Stuxnet n’aurait profité que des miettes laissées par Equation Group.
Véridique ou intention de Kaspersky de faire le buzz en utilisant un nouveau nom de code ? Ça on ne le saura certainement jamais.

D’autres techniques hors du commun sont utilisés par Equation Group comme la réécriture du firmware de pas moins de 12 marques de disques dur différents (Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba, Seagate), rendant tout simplement impossible la détection par les antivirus.

Un composant baptisé Fanny sert à échapper aux air gaps par le biais des clés USB : le malware s’injecte sur la clé USB en se dissimulant dans le système de fichier FAT ou NTFS via un driver fait maison.
Il utilise aussi deux exploits (dont le LNK) pour se propager ensuite sur les machines où sera branchée la clé USB.

Si la machine ne dispose pas de connexion Internet alors des données d’identification (liste des process, architecture et nom de la machine, etc) sont récupérées et recopiées discrètement vers la clé.
Plus tard quand la clé USB est branchée sur une machine disposant d’un accès à Internet, les données sont retransmises à un C&C. Ce dernier peut retourner d’autres commandes à exécuter qui seront stockées sur la clé USB puis finalement exécutées la prochaine fois que celle ci sera rebranchée sur la machine sans connexion…

Bref, pas de quoi rassurer les paranos 😀

Quand aux victimes ? Essentiellement la région où on retrouve Iran, Pakistan, Afghanistan mais aussi l’Inde, la Russie, la Chine, etc.
Notez que contrairement à ce qu’ont pu dire certains médias, Equation Group n’a aucun lien avec les attaques Carbanak.