[INFO] Fuite de fichiers appartenant à un groupe de pirates lié à la NSA

[INFO] Fuite de fichiers appartenant à un groupe de pirates lié à la NSA

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la publication de fichiers appartenant prétendument à la NSA.


Description :

Un groupe de pirates baptisé Shadow Brokers a annoncé détenir des fichiers appartenant à un groupe lié à la NSA, Equation Group. Ce dernier est considéré comme un des groupes de pirates extrêmement compétents et aurait participé à l’élaboration de plusieurs malwares très sophistiqués, comme Flame ou Stuxnet.

Des fichiers présentés comme des logiciels de cyberattaque sont vendus aux enchères par le groupe Shadow Brokers.
Un échantillon de ces données a été posté sur Github, avant que le compte ne soit suspendu.

Celui-ci contient des outils d’exploitation visent principalement les pare-feu des plus grands fournisseurs d’équipement réseau comme Cisco. De nombreux chercheurs et experts en sécurité ont alors immédiatement testé une partie de ces outils qui semblent fonctionner parfaitement comme évoqués dans les bulletins associés à l’exploitation d’ASA de Cisco (CXA-2016-2736 et CXA-2016-2757).

Les équipes de Cisco ont rapidement réagi en émettant plusieurs bulletins d’alerte ainsi qu’une analyse et démonstration des outils qui concernent leurs produits (leur publication se situe dans les références).

Dans les outils « gratuits » qui ont été rendus publics trois d’entre eux appelés « EXTRABACON », « EPICBANANA » et « JETPLOW » permettent de cibler des équipements de Cisco : Cisco ASA, Cisco PIX, and Cisco Firewall Services Module.

Le premier outil ExtraBacon exploite la vulnérabilité référencée CVE-2016-6366 et permet à un attaquant distant non authentifié d’exécuter des commandes à distance sur l’équipement vulnérable via des paquets SNMP spécialement créés à cet effet. En cas d’échec, le système crash ce qui résulte en un déni de service.

Le second nommé EpicBanana exploite la vulnérabilité référencée CVE-2016-6367 qui permet de provoquer un déni de service voire d’exécuter du code par un utilisateur local authentifié. Les deux exploits cumulés permettent donc de provoquer un déni de service ou d’exécuter du code à distance sans authentification.

Le dernier outil affectant Cisco nommé JetPlow est une implémentation persistante d’EpicBanana pour conserver un accès sur le système.

Ces outils datent au plus tard de 2013, ce qui démontre que ces vulnérabilités existent et ont été découvertes il y a plusieurs années de cela, et ont probablement déjà été utilisées avec parcimonie contre des cibles spécifiques afin de limiter la détection des attaques. Maintenant que ces outils ont été diffusés et que les vulnérabilités sont connues, il ne fait aucun doute que des exploitations automatisées vont apparaitre dans de nombreux « kits » de pénétration.

Bien que des doutes subsistent sur le fait que la NSA ait effectivement été piratée, il parait crédible que les fichiers soient bien liés à l’agence de renseignements américaine. En effet, plusieurs exploits présents dans l’échantillon publié par Shadow Brokers apparaissent dans les données publiées par Edward Snowden en 2013.

Le groupe a annoncé que si la somme récoltée via les enchères atteignait le million de Bitcoins (soit environ 500 millions de dollars), des données supplémentaires seraient publiquement divulguées.


Références :

Référence CERT-XMCO :


Jean-Christophe Pellat

Cert-XMCO