NoPen, un malware du groupe Equation pour les systèmes Unix

Jacques Cheminat,

En fouillant dans les archives publiées par Shadow Brokers, un chercheur a découvert un outil du groupe Equation baptisé NoPen pour les systèmes Unix.

Il y a quelques semaines le monde entier découvrait un groupe de pirates nommé Shadow Brokers. Ces derniers revendiquaient le piratage des systèmes informatiques du groupe Equation, proche de la NSA. Comme preuves, ils ont publié deux archives contenant des outils, des failles, etc. Seule la première de 300 Mo était mise à disposition gratuitement.

Au sein de cette archive, la majorité des chercheurs et spécialistes en sécurité est partie à la recherche du Saint Graal : des failles Zero-Day. Mais pour Nick Beauschene, chercheur en sécurité au sein de la société Vectra, il y a d’autres outils dans cette archive qui peuvent être aussi dangereux.

Un de ces dangers s’appelle « NoPen ». Les experts en sécurité l’ont déjà décrit comme une technique « post-exploitation shell » que le groupe Equation installait sur des terminaux compromis, lui donnant l’accès à ce terminal.

Un RAT qui s’en prend aux systèmes Unix

Pour Nick Beauschene, il n’y a pas de doute, NoPen est un RAT (Remote Administration Tool) pour les systèmes Unix. Ce terme de RAT est souvent utilisé pour nommer des logiciels malveillants placés sur les terminaux Windows et Android permettant aux pirates de se connecter aux systèmes infectés. La référence à NoPen dans l’arsenal publié par Shadow Brokers est multiple et complexe. « Cela semble une pierre angulaire de leur infrastructure », précise le chercheur.  Dans le détail, l’outil « donne des capacités shell (injection libnet, élévation de privilèges) et de tunnel relativement puissantes, le tout est joliment empaqueté avec le désormais célèbre chiffrement RC6 », ajoute Nick Beauschene.

Selon son analyse, NoPen fonctionne sur plusieurs types d’architectures, i386, i486, i586, i686, i86pc, i86, SPARC, Alpha, x86_64 et AMD64. Autrement dit, le RAT peut cibler différents systèmes d’exploitation comme Linux, FreeBSD, SunOS et HP-UX. La bonne nouvelle, dixit le spécialiste, est que certaines solutions de sécurité vont pouvoir maintenant être en mesure de détecter la présence de NoPen sur les réseaux et ce malgré l’utilisation du chiffrement RC6 pour masquer son trafic.

A lire aussi :

Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA

Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée