Sécurité

À l’intérieur d’EquationDrug : la première plate-forme d’espionnage au monde soutenue par la NSA – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Depuis qu’Edward Snowden a révélé les opérations obscures de la NSA et son vaste réseau de collecte de renseignements, une question sans réponse se cache en arrière-plan : où sont les groupes qui construisent et maintiennent les divers outils logiciels de la NSA ? Kaspersky Labs pense en avoir trouvé au moins un et a découvert la suite d’espionnage que l’équipe soutenue par la NSA utilise pour faire son sale boulot.

Selon un nouveau rapport de Kaspersky, le soi-disant Equation Group dispose d’une plate-forme logicielle d’espionnage complète, baptisée EquationDrug. Il s’agit apparemment de la plate-forme la plus ancienne du groupe et est utilisée depuis 2003, mais un déploiement plus récent, GrayFish, a également été repéré dans la nature.

ÉquationMédicament_1

La raison pour laquelle Kaspersky appelle EquationDrug une plate-forme, par opposition à un simple cadre, est le degré de sophistication intégré au logiciel. C’est quelque chose dont nous avons discuté lorsque nous avons parlé de la Logiciel malveillant Regin apparu l’année dernière — Regin était incroyablement flexible, avec la possibilité de déployer des plugins hautement personnalisés qui pouvaient exécuter des fonctions très spécifiques. Kaspersky ne relie pas directement Regin et EquationDrug, mais il note que le but de la plate-forme ED est de charger divers plugins (l’équipe de sécurité a localisé 30 plugins mais pense qu’il peut en exister jusqu’à 86).

Certains des plugins les plus intéressants trouvés à ce jour incluent :

  • Interception du trafic réseau
  • Gestion de l’ordinateur (démarrage et arrêt des processus, chargement des pilotes et des bibliothèques, gestion des fichiers, etc.)
  • Collecte d’informations au niveau du système
  • Collecte de mots de passe
  • Surveillance en direct de l’activité du navigateur
  • Surveillance du stockage amovible
  • Keylogging et surveillance du presse-papiers
  • Manipulation du firmware HDD et SSD
Psssssst :  Pourquoi HTC enregistre les données de comportement et pourquoi cela effraie les utilisateurs - High-teK.ca

Un mot-clé trouvé par Kaspersky est « Backsnarf_AB25 », et c’est là que l’histoire devient particulièrement intéressante. Comme rapporte Ars Technica, l’un des programmes liés aux opérations d’accès sur mesure de la NSA s’appelait BackSnarf – et ce n’est pas le seul programme lié. Ces types de cartes d’appel suggèrent fortement que le groupe Equation (ainsi nommé parce que ses membres favorisent l’utilisation d’algorithmes et de stratégies d’obscurcissement) est à la fois lié à la NSA et directement responsable de certains des programmes malveillants les plus dangereux et les plus sophistiqués sur Internet aujourd’hui.

EquationGroup-Malware

Kaspersky a lié les vers et les chevaux de Troie ci-dessus comme faisant partie de la même famille et tous distribués à partir de la même plate-forme. Ce qui rend le groupe Equation intéressant, c’est le nombre de packages de logiciels malveillants les plus avancés et les plus menaçants sur lesquels il a travaillé, mais cela soulève un autre point troublant.

Comment séparez-vous les gentils des méchants ?

Dans le monde selon la NSA, il y a des gentils (eux-mêmes, la Grande-Bretagne, certains de nos alliés habituels) et des méchants (Chine, Russie, certains de nos alliés). Selon cette vision du monde, c’est le travail des gentils de mener une cyberguerre contre les autres et de défendre les réseaux américains contre eux.

Le problème pour presque tous ceux qui travaillent dans la sécurité informatique est que les chapeaux noirs et blancs peuvent rapidement se transformer en nuances de gris boueuses. Si les deux dernières années ont mis quelque chose au clair, c’est que la NSA traite souvent des entreprises comme Google et Microsoft comme des magasins de bonbons, en pillant leurs référentiels de données (avec sanction gouvernementale) et simultanément recherchant et exploitant leur logiciel pour des hacks qu’il peut utiliser contre des nations étrangères. Lorsque ces bogues sont finalement découverts et rendus publics, les entreprises se précipitent pour les corriger, tout en sachant que le gouvernement américain mène une opération de craquage à long terme sur leur code.

Psssssst :  Google lance des connexions sans mot de passe pour les utilisateurs d'Android

Je ne dis pas que la NSA et diverses sociétés américaines ne coopèrent pas pour sécuriser véritablement les systèmes. Mais découvrir que le gouvernement mène une opération à long terme visant à exploiter chaque parcelle d’insécurité qu’il peut trouver ne plaira à aucune entreprise dont les résultats dépendent de la conservation des données des clients sous clé. La décision de la NSA d’exploiter les bogues plutôt que d’aider à les corriger signifie que d’autres groupes qui découvrent les mêmes failles de manière indépendante ont plus de facilité créer leurs propres logiciels malveillants pour exploiter les failles qui étaient autrefois la « propriété » exclusive de la NSA.

Bouton retour en haut de la page