Pour gérer vos consentements :

NoPen, un malware du groupe Equation pour les systèmes Unix

Il y a quelques semaines le monde entier découvrait un groupe de pirates nommé Shadow Brokers. Ces derniers revendiquaient le piratage des systèmes informatiques du groupe Equation, proche de la NSA. Comme preuves, ils ont publié deux archives contenant des outils, des failles, etc. Seule la première de 300 Mo était mise à disposition gratuitement.

Au sein de cette archive, la majorité des chercheurs et spécialistes en sécurité est partie à la recherche du Saint Graal : des failles Zero-Day. Mais pour Nick Beauschene, chercheur en sécurité au sein de la société Vectra, il y a d’autres outils dans cette archive qui peuvent être aussi dangereux.

Un de ces dangers s’appelle « NoPen ». Les experts en sécurité l’ont déjà décrit comme une technique « post-exploitation shell » que le groupe Equation installait sur des terminaux compromis, lui donnant l’accès à ce terminal.

Un RAT qui s’en prend aux systèmes Unix

Pour Nick Beauschene, il n’y a pas de doute, NoPen est un RAT (Remote Administration Tool) pour les systèmes Unix. Ce terme de RAT est souvent utilisé pour nommer des logiciels malveillants placés sur les terminaux Windows et Android permettant aux pirates de se connecter aux systèmes infectés. La référence à NoPen dans l’arsenal publié par Shadow Brokers est multiple et complexe. « Cela semble une pierre angulaire de leur infrastructure », précise le chercheur.  Dans le détail, l’outil « donne des capacités shell (injection libnet, élévation de privilèges) et de tunnel relativement puissantes, le tout est joliment empaqueté avec le désormais célèbre chiffrement RC6 », ajoute Nick Beauschene.

Selon son analyse, NoPen fonctionne sur plusieurs types d’architectures, i386, i486, i586, i686, i86pc, i86, SPARC, Alpha, x86_64 et AMD64. Autrement dit, le RAT peut cibler différents systèmes d’exploitation comme Linux, FreeBSD, SunOS et HP-UX. La bonne nouvelle, dixit le spécialiste, est que certaines solutions de sécurité vont pouvoir maintenant être en mesure de détecter la présence de NoPen sur les réseaux et ce malgré l’utilisation du chiffrement RC6 pour masquer son trafic.

A lire aussi :

Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA

Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée

Recent Posts

Data et analytique : pour quel retour sur investissement ?

EY qualifie de "dépassement des attentes" une utilisation des mégadonnées et de l'analyse avancée à…

6 heures ago

Mobile et systèmes industriels : les chantiers du framework ATT@CK

Passé en v11, le framework MITRE ATT@CK renforce sa matrice Mobile. Il en sera de…

7 heures ago

Cybersécurité : Thales s’offre S21sec et Excellium pour 120 M€

L'acquisition vient renforcer l’offre de Thales dans le conseil, l'intégration et les services managés de…

11 heures ago

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

1 jour ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

1 jour ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

1 jour ago