Après sa série Vault 7 lancée en mars 2017 sur les outils d’espionnage exfiltrés des murs de la CIA, WikiLeaks ouvre une nouvelle saison, Vault 8, consacrée au code source des applications de surveillance en question.
« Cette publication permettra aux journalistes d’investigation, aux experts judiciaires et au grand public de mieux identifier et comprendre les composantes secrètes de l’infrastructure de la CIA », justifie la plateforme de Julian Assange pour les lanceurs d’alertes.
Qui s’empresse de préciser qu’aucun des documents publiés ne contiennent de vulnérabilité 0-Day ou de faille de sécurité susceptible d’être re-exploitée par des tiers.
La première révélation de Vault 8 porte sur Hive (ruche), un composant « majeur » de l’infrastructure de l’agence américaine du renseignement de contrôle de ses malware.
Hive fournit en effet une plate-forme de communication entre les serveurs infectés (surveillés) et ceux de la CIA afin d’exfiltrer des informations mais aussi de recevoir des instructions. Et ce, sans que son éventuelle découverte puisse permettre de remonter jusqu’à l’agence de renseignement.
Pour chaque opération, un domaine est créé. Domaine exécuté sur des serveurs loués auprès d’hébergeurs commerciaux en tant que VPS.
Ces serveurs privés virtuels servent alors de relais avec les propres serveurs de la CIA (appelés « Blot ») hébergés derrière une connexion VPN (réseau virtuel privé).
Toujours selon WikiLeaks, les domaines créés par la CIA offrent des contenus anodins susceptibles de n’inspirer aucune méfiance à un visiteur qui tomberait dessus (par hasard ou pas).
A l’insu du visiteur, les sites Web leurres servent de passerelles pour propager des malware de la CIA, favorisant la connexion avec les serveurs Blot de l’agence de renseignement (et donc la collecte discrète de données).
Qui plus est, le code de Hive génère de faux certificats. Comme, par exemple, un certificat attribué à Kaspersky Lab et signé par Thawte Consulting. Ce qui oblige Kaspersky à prendre la parole pour se défendre sur Twitter.
« De cette façon, si l’organisation cible regarde le trafic réseau sortant de son réseau, elle tendra à attribuer l’exfiltration des données de la CIA à des entités non impliquées dont l’identité a été usurpée », affirme Wikileaks.
Hive n’est pas sans faire penser à un autre malware, FuzzBunch, utilisé par la NSA dont les outils de hacking ont été dérobés par les Shadow Brokers. Avec le résultat que l’ont sait.
Entre les mains de cybercriminels, les outils de l’agence nationale de la sécurité américaine se sont transformés en ransomware Wannacry et autre Petya.
Même si WikiLeaks s’engage à ne publier du code sans 0-Day, le pire est à craindre avec la publication de la vingtaine d’outils précédemment inscrit dans la liste Vault 7.
Lire également
Vault 7 : WikiLeaks dans le rôle de l’arroseur arrosé
Quand la CIA installait des spywares pour surveiller le FBI et la NSA
Comment la CIA suit les PC à la trace à l’aide du Wifi
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.
