Throwback: NSA Hacking Tools – Ce que vous devez savoir

[ware_item id=33][/ware_item]

L'annonce de la vente aux enchères de l'agence de la NSA fabriquée «cyber-armes» par un groupe de hackers «Shadow Brokers» confirme la mise en cache des documents publiés par le lanceur d'alerte Edward Snowden. Il affirme en effet que ce logiciel authentique NSA est utilisé secrètement pour infecter des ordinateurs dans le monde entier. Au cours du débat sur la fuite de ce logiciel, une chose est certaine: ce malware provient de l'agence NSA.


16 Chaîne de caractères liant la fuite de Shadow Broker et les logiciels malveillants

Edward Snowden n'a jamais publié au public les preuves des clichés de données Shadow Broker se connectant au manuel de l'agence interne classifiée de la NSA. Le projet de manuel guide les opérateurs de la NSA pour suivre leur utilisation des programmes malveillants par une chaîne de 16 caractères, «ace02468bdf13579». La fuite Shadow Broker montre cette chaîne dans toutes les données associant le code à un programme SECONDDATE.

Ce que les autres avaient à dire et le silence de la NSA

"Il est extrêmement difficile de simuler ces informations, il y a juste un tel volume de choses significatives", a déclaré Nicholas Weaver, chercheur en sécurité informatique à l'Université de Californie à Berkeley, dans une interview avec WashingtonPost. "Une grande partie de ce code ne devrait jamais quitter la NSA."

Les fichiers publiés semblaient être vrais, selon d'anciens membres du personnel qui travaillaient dans la division de piratage de l'agence de la NSA, connue sous le nom de Tailored Access Operations (TAO).

"Sans aucun doute, ils sont les clés du royaume", a déclaré un ancien employé de TAO, qui a parlé à WashingtonPost sous couvert d'anonymat pour discuter des opérations internes sensibles. "Les choses dont vous parlez porteraient atteinte à la sécurité de nombreux réseaux gouvernementaux et d'entreprises majeurs ici et à l'étranger."

A déclaré un deuxième ancien hacker TAO qui a vu le dossier: "D'après ce que j'ai vu, il n'y avait aucun doute dans mon esprit qu'il était légitime."

"Ce qui est clair, c'est qu'il s'agit d'outils de piratage hautement sophistiqués et authentiques", a déclaré Oren Falkowitz, PDG de Area 1 Security et un autre ancien employé de TAO..

"Il est extrêmement difficile de simuler ces informations, il y a juste un tel volume de choses significatives", a déclaré Nicholas Weaver, chercheur en sécurité informatique à l'Université de Californie à Berkeley, dans une interview avec WashingtonPost. "Une grande partie de ce code ne devrait jamais quitter la NSA."

Tweeted Snowden: "Des preuves indirectes et la sagesse conventionnelle indiquent la responsabilité de la Russie." Il a déclaré que la divulgation "est probablement un avertissement que quelqu'un peut prouver la responsabilité des États-Unis pour toute attaque provenant de ce" redirecteur ou serveur malveillant en le reliant à l'agence de la NSA.

En parlant à The Intercept, le cryptographe de l'Université Johns Hopkins, Matthew Green, a déclaré:

«Le danger de ces exploits est qu'ils peuvent être utilisés pour cibler quiconque utilise un routeur vulnérable. Cela équivaut à laisser les outils de cueillette des serrures traîner dans une cafétéria du secondaire. C'est pire, en fait, parce que bon nombre de ces exploits ne sont pas disponibles par d'autres moyens, donc ils viennent maintenant à l'attention des fabricants de pare-feu et de routeurs qui doivent les réparer, ainsi que des clients qui sont vulnérables. "

-

Le risque est donc double: premièrement, la ou les personnes qui ont volé ces informations pourraient les avoir utilisées contre nous. S'il s'agit bien de la Russie, alors on suppose qu'ils ont probablement leurs propres exploits, mais il n'est pas nécessaire de les donner davantage. Et maintenant que les exploits ont été libérés, nous courons le risque que des criminels ordinaires les utilisent contre des cibles d'entreprise. »

Le chercheur en sécurité Mustafa Al-Bassam a publié son examen détaillé et travaille sur les outils divulgués sur sa page Web personnelle.

En revanche, l'agence NSA n'a pas répondu aux questions concernant Shadow Brokers, les documents Snowden ou son malware.

Le dilemme du SECONDDATE

Alors que les autres outils malveillants offensifs nommés comme POLARSNEEZE et ELIGIBLE BOMBSHELL sont toujours en cours d'évaluation pour leur véritable objectif. SECONDDATE est l'objectif principal en raison de sa connectivité à TURBINE nommé code, l'effort d'exploitation en 2014 et BADDECISION.

Le SECONDDATE divulgué, ainsi que d'autres outils malveillants, est un programme malveillant spécialisé de l'agence NSA qui vise à détourner et surveiller les activités de millions d'ordinateurs à travers le monde. Marquer l'histoire avec la sortie de ces copies complètes des outils malveillants offensifs de la NSA montre la réalité des systèmes décrits dans les documents que Edward Snowden a divulgués.

SECONDDATE est un outil malveillant pour intercepter les requêtes Web et redirige les navigateurs vers un serveur Web NSA. Ce serveur infecte ensuite cet ordinateur avec des logiciels malveillants. Ce serveur Web appelé FOXACID est précédemment mentionné dans les documents précédemment divulgués de Snowden.

Une section d'un manuel classifié intitulée «FOXACID SOP for Operational Management», une ébauche de document de 31 pages, souligne cette même chaîne et décrit les outils de suivi des victimes transmises au serveur Web FOXACID, y compris un système d'étiquettes utilisé pour cataloguer les serveurs avec différents identifiants:

Ce même MSGID est apparu dans 14 fichiers différents de fuite de ShadowBroker, y compris un nom de fichier intitulé "SecondDate-3021.exe".

SECONDDATE et BADDECISION

L'existence du SECONDDATE s'inscrit dans les fuites non publiées d'Edward Snowden qui relient SECONDDATE à BADDECISION, qui est un outil plus large d'infiltration.

En 2010, des documents divulgués étaient une présentation PowerPoint intitulée «Introduction à BADDECISION», dans laquelle une diapositive décrivait que cet outil est conçu pour envoyer des utilisateurs d'un réseau sans fil, parfois appelé réseau 802.11, vers des serveurs malveillants FOXACID.

Plus loin dans ces fichiers divulgués, un dossier de présentation d'avril 2013 portant sur l'application du SECONDDATE à l'étranger: une violation de la division VIP de la National Telecommunications Corporation (NTC) du Pakistan, contenant des documents relatifs à «l'épine dorsale du réseau de communications pakistanais de la Ligne verte» utilisé par des «civils et le leadership militaire. "et au Liban pour avoir infecté un FAI libanais pour extraire" 100+ Mo de données de l'unité 1800 du Hezbollah ", un sous-ensemble spécial du groupe terroriste dédié à l'aide aux militants palestiniens.

SECONDDATE n'est qu'une des méthodes utilisées par l'agence NSA pour obtenir le transfert du navigateur de sa cible sur un serveur FOXACID. D'autres méthodes incluent l'envoi de spam pour infecter avec des bogues ou des liens de messagerie Web qui mènent au serveur FOXACID.

Ce qu'Edward Snowden avait à dire?

Alors que beaucoup pensent que l'agence NSA est piratée. Mais dans la série de tweets, il a souligné que les ordinateurs utilisés par le siège de l'agence de la NSA pour attaquer étaient compromis en raison de l'échec de quelqu'un à nettoyer le système, ce qui a conduit un groupe de pirates à saisir l'occasion.

Photo: Associated Press