Comment des hackers chinois ont profité d'un exploit développé par la NSA
En 2013, une entité nommée "Equation Group, largement connue comme étant une division de la NSA, s'est mise à développer une série d'exploits, dont un appelé "EpMe" qui élève les privilèges d'un système Windows vulnérable au niveau d'administrateur système, lui accordant un contrôle total. Cela permet à une personne ayant un accès à une machine de commander l'ensemble du système. En 2017, un grand nombre d'outils développés par Equation Group ont été détournés puis divulgués en ligne par une équipe de hackers qui se fait appeler Shadow Brokers.
À cette époque, Microsoft a annulé son Patch Thursday du mois de février de l'année, a identifié la vulnérabilité exploitée par EpMe (CVE-2017-0005) et l'a corrigée dans quelques semaines plus tard. Il faut noter que Lockheed Martin, l'entreprise américaine de défense et de sécurité, serait le premier à identifier et à alerter Microsoft sur cette faille, en suggérant qu'elle était peut-être utilisée contre une cible américaine. Vers mi-2017, Microsoft a discrètement corrigé la vulnérabilité exploitée par EpMe. Enfin, c'est la chronologie de l'histoire que l'on avait jusqu'à la publication du rapport de Check Point lundi.
Le rapport apporte en effet des preuves que les choses ne se sont pas passées exactement ainsi. La société a découvert qu'un groupe de hackers chinois connu sous le nom d'APT31, aussi connu sous le nom de Zirconium ou "Judgment Panda", avait d'une manière ou d'une autre réussi à accéder et à utiliser EpMe. Plus précisément, le rapport estime qu'entre 2014 et 2015, APT31 a développé un exploit, que Check Point a nommé "Jian", en clonant, d'une manière ou d'une autre, EpMe. Il aurait ensuite utilisé cet outil de 2015 à mars 2017, date à laquelle Microsoft a corrigé la vulnérabilité qu'il attaquait.
Cela signifierait qu'APT31 a eu accès à EpMe, un exploit d'"escalade de privilèges", bien avant les fuites occasionnées par Shadow Brokers entre fin 2016 et début 2017. « Le cas de EpMe/Jian est unique, car nous avons la preuve que Jian a été construit à partir de l'échantillon réel de l'exploit créé par Equation Group », a déclaré Check Point dans le rapport. Alors, comment l'ont-ils obtenu ? Ayant daté les échantillons d'APT31 de 3 ans avant la fuite de Shadow Broker, l'entreprise suggère que les échantillons de l'exploit de Equation Group auraient pu être acquis par APT31 de l'une des manières suivantes :
- capturé lors d'une attaque d'Equation Group sur une cible chinoise ;
- capturé lors d'une opération d'Equation Group sur un réseau tiers qui était également surveillé par APT31 ;
- capturé par APT31 lors d'une attaque sur l'infrastructure de Equation Group.
Une personne proche du dossier a déclaré que Lockheed Martin, qui avait identifié la vulnérabilité exploitée par Jian en 2017, l'a découverte sur le réseau d'un tiers non identifié. La personne a également déclaré que le réseau infecté ne faisait pas partie de la chaîne d'approvisionnement de Lockheed Martin, mais a refusé de partager plus de détails. Dans un communiqué, répondant aux recherches de Check Point, Lockheed Martin a déclaré qu'il « évalue régulièrement les logiciels et technologies tiers pour identifier les vulnérabilités et les signaler de manière responsable aux développeurs et autres parties intéressées ».
De son côté, la NSA a refusé de commenter les conclusions du rapport de Check Point. De même, l'ambassade de Chine à Washington n'a pas répondu aux demandes de commentaires. Toutefois, la découverte intervient alors que certains experts affirment que les espions américains devraient consacrer plus d'énergie à corriger les failles qu'ils trouvent dans les logiciels au lieu de développer et de déployer des logiciels malveillants pour les exploiter. Check Point dit avoir fait cette découverte en fouillant dans les anciens outils d'escalade des privilèges de Windows pour créer des "empreintes".
Des empreintes qu'il pourrait ensuite utiliser pour attribuer ces outils à certains groupes. Selon l'entreprise de sécurité, cette approche permet de mieux identifier l'origine des pirates informatiques trouvés dans les réseaux des clients.
Est-il dans l'intérêt des États de développer des exploits critiques ?
L'étude complète est décrite dans un rapport technique détaillé et soulève à nouveau la question de savoir s'il n'est pas dans l'intérêt des services de renseignement américains ou d'ailleurs de partager les détails des vulnérabilités exploitables qu'ils découvrent, plutôt que d'essayer de les garder secrètes et de les utiliser eux-mêmes. Selon les chercheurs de Check Point, au final, les outils fuient (ou les bogues sont découverts par d'autres) et exposent les entreprises et institutions américaines et du monde entier à des tentatives de piratage. Selon des analystes, ce dernier cas arrive malheureusement très souvent.
En effet, les conclusions de Check Point ne sont pas la première fois que des pirates informatiques chinois ont, semble-t-il, réutilisé un outil de piratage de la NSA, ou du moins, une technique de piratage de la NSA. En 2018, Symantec a rapporté qu'une autre puissante vulnérabilité de Windows, exploitée dans les outils de piratage de la NSA EternalBlue et EternalRomance, avait également été reconvertie par des pirates chinois avant leur divulgation par Shadow Brokers. Mais dans ce cas, Symantec a noté qu'il ne semble pas que les pirates chinois aient réellement eu accès aux logiciels malveillants de la NSA.
Au contraire, il semble qu'ils aient vu les communications réseau de l'agence et qu'ils aient fait de l'ingénierie inverse des techniques qu'elle utilise pour construire leur propre outil de piratage. Check Point explique que l'exploit Jian d'APT31, en revanche, semble avoir été construit par quelqu'un ayant un accès direct au programme compilé d'Equation Group, dupliquant dans certains cas des parties arbitraires ou non fonctionnelles de son code. « L'exploit d'APT31 a copié une partie du code, et dans certains cas, il semble qu'ils n'aient pas vraiment compris ce qu'ils ont copié et ce qu'il fait », a déclaré Itay Cohen, chercheur chez Check Point.
En faisant fuiter les exploits EternalBlue et EternalRomance, Shadows Brokers a permis à des attaquants de les utiliser pour répandre des logiciels malveillants, tels que le ransomware Wannacry et le logiciel malveillant NotPetya. L'équipe APT31, quant à elle, a été accusée de menacer les candidats aux élections américaines de 2020. Selon les analystes, il est également possible que le piratage inédit des départements du gouvernement américain et des entreprises du Fortune 500 par le biais du logiciel de réseau SolarWinds soit le résultat d'exploits développés par le gouvernement américain et dirigés contre les États-Unis.
Outre ces hypothèses, Check Point n'a pas présenté clairement une situation où l'exploit Jian a été utilisé. Toutefois, les chercheurs en sécurité notent que la société a toujours une perspective illogique sur la cybersécurité. « Que diriez-vous si nous vous disions qu'un groupe étranger a réussi à voler un sous-marin nucléaire américain ? Ce serait certainement une mauvaise chose, et cela ferait rapidement la une des journaux. Cependant, pour les cyberarmes, bien que leur impact puisse être tout aussi dévastateur, c'est généralement une autre histoire », ont déclaré les chercheurs de Check Point.
« Les cyberarmes sont numériques et volatiles par nature. Les voler et les transférer d'un continent à l'autre peut être aussi simple que d'envoyer un courriel. Elles sont également très obscures, et leur simple existence est un secret bien gardé. C'est exactement la raison pour laquelle, contrairement à un sous-marin nucléaire, le vol d'une cyberarme peut facilement passer inaperçu et devenir un fait connu seulement d'une poignée de personnes sélectionnées », ont-ils ajouté. Par ailleurs, dans son rapport, Check Point a également surnommé l'exploit d'APT31 "épée à double tranchant".
Les chercheurs affirment que leurs conclusions devraient soulever à nouveau la question de savoir si les agences de renseignement peuvent en toute sécurité détenir et utiliser des outils de piratage "zero-day" sans risquer d'en perdre le contrôle. « C'est exactement la définition d'une épée à double tranchant », déclare Yaniv Balmas, responsable de la recherche chez Check Point. « Peut-être que la main est trop rapide sur la gâchette. Peut-être que vous devriez réparer plus rapidement. Les nations auront toujours des zero-day. Mais peut-être que la façon dont nous les manipulons, nous devrions y réfléchir à nouveau », a-t-il mis en garde.
Source : Check Point
Et vous ?
Que pensez-vous de la stratégie des services de renseignement consistant à garder secret et à exploiter les failles zero-day ?
Que pensez-vous de cette forme de chasse aux vulnérabilités zero-day à laquelle se livrent les services de renseignement ?
Voir aussi
EternalBlue, un outil de piratage de la NSA volé par les pirates, fait des ravages, causant des milliards de dollars de dommages
EternalRocks : le malware ciblant le service SMB s'appuie sur 7 exploits de la NSA, tandis que WannaCry n'en utilise que deux
Trois exploits de la NSA réécrits pour affecter toutes les versions de Windows lancées à partir de l'an 2000
Les ransomwares et les mineurs de monnaies numériques sont les malwares les plus diffusés en 2017, selon une étude réalisée par Bitdefender
Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA ont été mis en ligne