Il y a quelques semaines le monde entier découvrait un groupe de pirates nommé Shadow Brokers. Ces derniers revendiquaient le piratage des systèmes informatiques du groupe Equation, proche de la NSA. Comme preuves, ils ont publié deux archives contenant des outils, des failles, etc. Seule la première de 300 Mo était mise à disposition gratuitement.
Au sein de cette archive, la majorité des chercheurs et spécialistes en sécurité est partie à la recherche du Saint Graal : des failles Zero-Day. Mais pour Nick Beauschene, chercheur en sécurité au sein de la société Vectra, il y a d’autres outils dans cette archive qui peuvent être aussi dangereux.
Un de ces dangers s’appelle « NoPen ». Les experts en sécurité l’ont déjà décrit comme une technique « post-exploitation shell » que le groupe Equation installait sur des terminaux compromis, lui donnant l’accès à ce terminal.
Pour Nick Beauschene, il n’y a pas de doute, NoPen est un RAT (Remote Administration Tool) pour les systèmes Unix. Ce terme de RAT est souvent utilisé pour nommer des logiciels malveillants placés sur les terminaux Windows et Android permettant aux pirates de se connecter aux systèmes infectés. La référence à NoPen dans l’arsenal publié par Shadow Brokers est multiple et complexe. « Cela semble une pierre angulaire de leur infrastructure », précise le chercheur. Dans le détail, l’outil « donne des capacités shell (injection libnet, élévation de privilèges) et de tunnel relativement puissantes, le tout est joliment empaqueté avec le désormais célèbre chiffrement RC6 », ajoute Nick Beauschene.
Selon son analyse, NoPen fonctionne sur plusieurs types d’architectures, i386, i486, i586, i686, i86pc, i86, SPARC, Alpha, x86_64 et AMD64. Autrement dit, le RAT peut cibler différents systèmes d’exploitation comme Linux, FreeBSD, SunOS et HP-UX. La bonne nouvelle, dixit le spécialiste, est que certaines solutions de sécurité vont pouvoir maintenant être en mesure de détecter la présence de NoPen sur les réseaux et ce malgré l’utilisation du chiffrement RC6 pour masquer son trafic.
A lire aussi :
Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA
Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.