Il y a quelques semaines le monde entier découvrait un groupe de pirates nommé Shadow Brokers. Ces derniers revendiquaient le piratage des systèmes informatiques du groupe Equation, proche de la NSA. Comme preuves, ils ont publié deux archives contenant des outils, des failles, etc. Seule la première de 300 Mo était mise à disposition gratuitement.
Au sein de cette archive, la majorité des chercheurs et spécialistes en sécurité est partie à la recherche du Saint Graal : des failles Zero-Day. Mais pour Nick Beauschene, chercheur en sécurité au sein de la société Vectra, il y a d’autres outils dans cette archive qui peuvent être aussi dangereux.
Un de ces dangers s’appelle « NoPen ». Les experts en sécurité l’ont déjà décrit comme une technique « post-exploitation shell » que le groupe Equation installait sur des terminaux compromis, lui donnant l’accès à ce terminal.
Pour Nick Beauschene, il n’y a pas de doute, NoPen est un RAT (Remote Administration Tool) pour les systèmes Unix. Ce terme de RAT est souvent utilisé pour nommer des logiciels malveillants placés sur les terminaux Windows et Android permettant aux pirates de se connecter aux systèmes infectés. La référence à NoPen dans l’arsenal publié par Shadow Brokers est multiple et complexe. « Cela semble une pierre angulaire de leur infrastructure », précise le chercheur. Dans le détail, l’outil « donne des capacités shell (injection libnet, élévation de privilèges) et de tunnel relativement puissantes, le tout est joliment empaqueté avec le désormais célèbre chiffrement RC6 », ajoute Nick Beauschene.
Selon son analyse, NoPen fonctionne sur plusieurs types d’architectures, i386, i486, i586, i686, i86pc, i86, SPARC, Alpha, x86_64 et AMD64. Autrement dit, le RAT peut cibler différents systèmes d’exploitation comme Linux, FreeBSD, SunOS et HP-UX. La bonne nouvelle, dixit le spécialiste, est que certaines solutions de sécurité vont pouvoir maintenant être en mesure de détecter la présence de NoPen sur les réseaux et ce malgré l’utilisation du chiffrement RC6 pour masquer son trafic.
A lire aussi :
Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA
Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…