Des pirates chinois auraient obtenu et utilisé les outils de piratage de la NSA
Bien avant la première apparition de Shadow Brokers en 2016

Le , par Bill Fassinou

76PARTAGES

6  0 
En 2017, après la tempête médiatique autour du ransomware WannaCry que le groupe de pirates Shadow Brokers avait largement contribué à divulguer en publiant le fameux exploit MS17-010 soi-disant « volé » à la NSA, il était revenu sur le devant de la scène. Au mois d'avril de cette même année, de nombreux médias avaient relayé l’information selon laquelle le groupe a mis sur pied un nouveau service sur abonnement donnant l’accès à de nouveaux outils de piratage et autres données confidentielles en sa possession.

« Shadow Brokers menace de divulguer de nouveaux outils de piratage », pouvait-on alors lire sur la plupart des unes desdits médias. Les nouvelles révélations à attendre dans le cadre du fameux service mensuel concernent des attaques contre les navigateurs web, les routeurs, les terminaux mobiles, Windows 10, le réseau des banques centrales et des prestataires SWIFT. Les souscripteurs au service mensuel devraient aussi avoir des informations sur les compromissions dans les réseaux des programmes des missiles et armes nucléaires russes, iraniens, chinois et nord-coréens.

La société de sécurité Symantec a annoncé lundi dernier que deux de ces outils de piratage avancés avaient été utilisés plutôt en mars 2016 contre une multitude de cibles avant la fuite de Shadow Brokers. En effet, selon le rapport de Symantec, les agents de renseignement chinois auraient acquis des outils de piratage de la National Security Agency (NSA) et les ont réutilisés en 2016 pour attaquer des alliés américains et des sociétés privées en Europe et en Asie. D'après le calendrier des attaques et les indices contenus dans le code informatique, les chercheurs de Symantec estiment que les Chinois n'ont pas volé le code, mais l'ont capturé après une attaque de la NSA sur leurs propres ordinateurs.

Le groupe de piratage chinois qui a coopté les outils de la NSA est considéré par les analystes de l'agence comme l'un des groupes chinois les plus dangereux qu'elle surveille. Le groupe serait responsable de nombreuses attaques sur des certaines de cibles de défense les plus sensibles aux États-Unis, notamment des fabricants de technologies de propulsion spatiale, satellitaire et nucléaire.

Pour rappel, en 2016, un groupe de pirates qui se font appeler « The Shadow Brokers » avait affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers avait publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’ils avaient effectivement réussi le piratage. La communauté des chercheurs avait analysé ces échantillons et nombreux sont ceux qui ont affirmé qu’il s’agit bel et bien d’exploits légitimes. Cisco et Fortinet avaient eux aussi jeté un coup d’œil et publié une annonce où ils confirmaient l’authenticité de ces exploits et invitaient leurs clients à effectuer des mises à jour de sécurité.

Si des hypothèses ont indiqué que ce fameux « dieu » du cyberespionnage est en réalité un groupe de pirates soutenus par un État, certains, comme Kaspersky, ont pensé que Equation Group est en réalité rattaché à la NSA. Toutefois, la NSA, qui est la victime supposée de ce piratage, s’était bien gardée de formuler un commentaire officiel, évitant ainsi de confirmer ou d’infirmer son lien avec Equation Group. Pourtant, après le piratage, le quotidien Intercept vient confirmer que, sur la base de documents fournis par Edward Snowden qui n’ont pas encore été publiés, l’arsenal de cyberarmes porte bien la marque de fabrique de la NSA.

La découverte de Symantec serait une preuve que des pirates informatiques de la Chine ont acquis certains des outils quelques mois avant la première apparition de Shadow Brokers sur Internet en 2016. À maintes reprises, au cours des dix dernières années, les services de renseignements américains ont vu leurs outils de piratage informatique et des informations détaillées sur les programmes de cybersécurité hautement classés refaire surface entre les mains d’autres nations ou de groupes criminels.


Symantec a déclaré avoir découvert des preuves selon lesquelles Buckeye avait utilisé des logiciels malveillants développés par la NSA bien avant que ceux-ci ne soient rendus accessibles au public. Selon le rapport, le groupe Buckeye utilisait une version de la porte dérobée, DoublePulsar, depuis mars 2016, plus de 13 mois avant que Shadow Brokers ne la publie en ligne en avril 2017. Symantec a déclaré ne pas avoir vu le groupe utiliser d'autres logiciels malveillants liés à la NSA, tels que le framework FuzzBunch, l'outil habituel utilisé par les agents de la NSA pour déployer DoublePulsar sur des appareils infectés. Au lieu de cela, le groupe chinois a utilisé son propre outil appelé Bemstour.

Les chercheurs de Symantec ont expliqué que la version de DoublePulsar utilisée par Buckeye était différente de celle divulguée par les Shadow Brokers, suggérant même une origine différente. « Il semble contenir du code pour cibler les versions les plus récentes de Windows (Windows 8.1 et Windows Server 2012 R2), indiquant qu'il s'agit d'une version plus récente du logiciel malveillant. Il comprend également une couche supplémentaire d’obscurcissement. Sur la base des caractéristiques techniques et du calendrier, il est possible que cet obscurcissement ait été créé par les auteurs originaux de DoublePulsar. Il est à noter que les attaquants n'ont jamais utilisé le framework FuzzBunch dans ses attaques. FuzzBunch est un framework conçu pour gérer DoublePulsar et d'autres outils de Equation Group », a déclaré Symantec.

Les chercheurs de Symantec ne savent pas exactement comment les Chinois ont obtenu le code développé par les États-Unis. Cependant, leur rapport indique que les fournisseurs de services de renseignement chinois ont utilisé les outils américains pour réaliser des cyberintrusions dans au moins cinq pays : la Belgique, le Luxembourg, le Vietnam, les Philippines et Hong Kong. Les cibles comprenaient des organismes de recherche scientifique, des établissements d’enseignement et les réseaux informatiques d’au moins un allié du gouvernement américain.


Dans son rapport, Symantec n'a pas explicitement cité la Chine. Au lieu de cela, il a identifié les attaquants comme étant le groupe Buckeye, le terme utilisé par Symantec pour désigner les pirates informatiques que le ministère de la Justice des USA et plusieurs autres entreprises de cybersécurité ont identifié comme un prestataire du ministère chinois de la Sécurité d’État opérant de Guangzhou. Étant donné que les entreprises de cybersécurité opèrent dans le monde entier, elles attribuent souvent leurs propres surnoms aux agences de renseignement gouvernementales afin d'éviter d'offenser un gouvernement. Ainsi donc, Symantec et d'autres entreprises se réfèrent aux pirates informatiques de la NSA en tant que Equation Group. Buckeye est également appelé APT3, pour Advanced Persistent Threat.

Source : Symantec

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Shadow Brokers : les exploits de la NSA désormais disponibles via un service mensuel contre 22 000 $ en Zcash

Shadow Brokers : des documents d'Edward Snowden suggèrent que les exploits piratés appartiennent à la NSA, l'agence américaine s'abstient de commenter

Shadow Brokers : la NSA avait oublié son arsenal sur un serveur distant après une opération d'espionnage il y a trois ans

Shadow Brokers : l'analyse de la dernière archive publiée par cette entité semble accréditer la théorie d'un dénonciateur en interne

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 07/05/2019 à 19:55
J'en pense que beaucoup de choses restent inconnues du grand public mais aussi que rares sont ceux qui sont cybersécurisés. Donc libres.

 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web