Révélée
par WikiLeaks, cette plate-forme de malwares est capable de cibler tous
les PC, de Windows XP à Windows 10. Elle a été développée par une
société privée pour le compte de la CIA.
WikiLeaks continue d’effeuiller son amas de documents dérobés sur les outils de piratage de la CIA. Dans le cadre de sa série Vault7, le site vient ainsi de révéler l’existence d’Athena,
une plate-forme d’espionnage qui permet de cibler tous les ordinateurs
Windows, de Windows XP à Windows 10. WikiLeaks publie ainsi
cinq documents, dont un manuel d'utilisation fort instructif. Les
documents les plus anciens datent de septembre 2015, preuve que l’agence
américaine a été capable d’infecter le dernier système de Microsoft en
moins d’un an.
Cet « implant » - appellation d'un malware dans le jargon des agents
secrets américains – existe en deux versions : une version « de base »
(également appelée « Alpha ») et une version « étendue » (également
appelée « Bravo » ou « Hera »). Cette dernière ne cible que les systèmes
à partir de Windows 8. Les fonctionnalités des deux versions sont
identiques. La différence se situe surtout au niveau du mode de
persistance et des techniques de compression et de chiffrement.
Caché dans une DLL
Dans les deux cas, le code malicieux est planqué dans le fichier DLL
d’un service réseau local, permettant au malware de se maintenir même
après redémarrage. Dans la version de base, Athena vient se loger dans
une DLL de « Remote Access Service ». Dans la version étendue, le
malware s’installe dans une DLL de « DNScache Service ».
Une fois installé, Athena permet d’avoir un contrôle total de la
machine. Le logiciel peut installer d’autres outils d’espionnage,
rapatrier des fichiers ou, à l’inverse, en ajouter. L’architecture
technique ressemble beaucoup à celle utilisée par les pirates, avec la
mise en place d’un serveur de commande et contrôle (C&C) qui permet
de piloter le malware à distance et en temps réel. La communication
entre le malware et le serveur C&C se fait par des petits messages
appelés « beacons ».
Il est intéressant de constater que cette plate-forme
d’espionnage a été développée en partenariat avec Siege Technologies,
une société de cybersécurité américaine basée dans le New Hampshire et
qui a été rachetée récemment par Nehemiah Security. Siege Technologies
apparaissait déjà dans les emails fuités de Hacking Team.
C’est la neuvième fois que WikiLeaks publie les documents d’une
plate-forme d’espionnage de la CIA. Auparavant, le site avait révélé
AfterMidnight, Archimedes, Scribbles, Weeping Angel, Hive, Grasshopper, Marble Framework et Dark Matter.
Wikileaks : de nouveaux documents détaillent les efforts de la CIA pour pirater les produits d'Apple. Mais... [MAJ]
Sécurité : Cette nouvelle publication
est moins massive que la première et ne révéle que huit nouveaux
documents issus de la CIA, contrairement à Vault7 qui révélait d'un seul
coup plusieurs milliers de pages issues des serveurs de la CIA. Mais la
plupart des documents sont datés.
Lors de la publication des premiers documents tirés des serveurs de
la CIA, Wikileaks avait prévenu que de nouvelles publications étaient à
prévoir. La seconde volée de documents publiés par l'organisation de
Julian Assange remet donc le couvert et détaille cette fois ci les capacités de la CIA à l’égard des appareils Apple.
Cette nouvelle publication est moins massive que la première et ne
révèle que huit nouveaux documents issus de la CIA, contrairement à
Vault7 qui révélait d'un seul coup plusieurs milliers de pages issues
des serveurs de la CIA.
Cette fois, Wikileaks semble vouloir détailler plus spécifiquement les
capacités de piratage de la CIA à l’égard des produits Apple. Les
documents révèlent ainsi plusieurs programmes mis en place par la CIA
aux alentours de 2008 pour s'attaquer aux produits Apple : le programme Sonic Screwdriver
décrit dans les documents de la CIA permettait ainsi aux agents
d'utiliser un périphérique malveillant qui, une fois branché sur un
Macbook, pouvait permettre à un agent d'infecter un Mac et d’exécuter du
code malveillant lors de sa séquence de boot. Celui ci fonctionne sur
de nombreux appareils Apple disposant d'un port Firewire.
Cette
technique permet notamment de contourner sans peine les protections et
mots de passe mis en place sur la machine de la cible.
Outre leur tournevis sonique, les agents de la CIA disposaient d 'outils
qui permettaient d'installer une backdoor persistante sur les machines
cibles : baptisé DarkSeaSkies, ces différents malwares permettaient de
s'attaquer à différentes composantes de la machine et de s'assurer qu'un
reboot ou une réinstallation de l'OS ne viendraient pas compromettre
l'infection.
Enfin, les documents révèlent également l'existence du programme « NightSkies » un
malware destiné cette fois à infecter des iPhones 3G Celui ci agit
comme un logiciel espion classique et peut permettre l'installation de
nouvelles fonctionnalités selon les besoins. Mais comme le note
Wikileaks, le manuel fait notamment mention du fait que ce malware est
pensé pour être installé sur des iPhones à peine sortis d'usine. Selon
Wikileaks, cela laisse entendre que la CIA ne se privait pas d'infecter
des iPhones directement dans la chaîne d'approvisionnement, avant que
ceux ci n'arrivent sur le marché.
Ces nouveaux documents sont néanmoins datés, la plupart semblent avoir
été initialement écrits aux alentours de 2008. La fuite donne un bon
aperçu des capacités de la CIA à l’époque de la sortie du 1er iPhone et
montre que les équipes de R&D de l'agence de renseignement ne
ménagent pas leurs efforts pour s'attaquer aux appareils Apple.
Suite à cette publication, Apple a réagi assez vertement auprès de TechCrunch.
Le constructeur explique que les différentes failles détaillées dans
ces nouveaux documents sont datées et ont été corrigées depuis longtemps
par ses équipes. Celle concernant l'iPhone a été corrigée en 2009 et
celle concernant les Macbook en 2013.Et c'est pas pour rien qu'Apple change son systrème de fichier en APFS,et qu'avec Mac OS X 10.3, Apple met à jour son désuet HFS Plus,qui était de la marde selon Linus Torvalds ,on va enfin vers de la performance et la sécurité !
"Nous avons analysé les
révélations de Wikileaks publiées ce matin : la vulnérabilité présumée
de l'iPhone ne concernait que l'iPhone 3G et a été corrigée en 2009
quand l'iPhone 3GS a été lancé. Par ailleurs, notre évaluation
préliminaire montre que les vulnérabilités présumées touchant les Mac
ont été corrigées sur tous les modèles lancés après 2013. Nous n'avons
pas négocié avec Wikileaks pour obtenir ces informations. Nous leur
avons proposé de soumettre toutes les données qu'ils souhaitaient via
notre processus classique. Jusqu'à présent, nous n'avons pas reçu
d'informations de leur part qui ne soient pas disponibles publiquement.
Nous sommes des défenseurs infatigables de la sécurité et de la vie
privée de nos utilisateurs, mais nous ne cautionnons pas le vol ni ne
collaborons avec ceux qui menacent de mettre en danger nos
utilisateurs.", peut-on lire.
Voici comment la CIA a prétendu pirater des téléviseurs intelligents Samsung - et comment vous protéger:
Parmi les nombreux exploits de la CIA d'Apple, de Google et de la
technologie de consommation de Microsoft dans le déploiement
d'informations massif de Wikileaks d'aujourd'hui, c'était un projet
particulièrement nouveau pour espionner les téléviseurs intelligents
Samsung.Selon
les fichiers hébergés par Wikileaks, les agents de la CIA ont nommé
leur malware TV Weeping Angel qui semblait avoir été créé lors d'un
atelier commun avec les homologues britanniques de l'agence, MI5, en
2014. Si les données déversées sont légitimes, Weeping Angel fonctionne
comme une Application TV normale, pas différente de YouTube, mais en arrière-plan, capture d'audio mais pas de vidéo. Cependant,
il peut également récupérer les touches Wi-Fi que la télévision utilise
pour pirater le réseau Wi-Fi de la cible et accéder à tous les noms
d'utilisateur et mots de passe stockés sur le navigateur de télévision, a
expliqué Matthew Hickey, un chercheur en sécurité et cofondateur de
Hacker House, un projet visant à encourager les jeunes à entrer dans la cybersécurité. Il y avait aussi une fonctionnalité intitulée «Fake Off» où le
téléviseur continuerait à enregistrer même lorsque l'appareil serait
éteint.Hickey,
qui a examiné les notes de la CIA sur le projet, a déclaré qu'il
semblait que les logiciels malveillants infiltrent le téléviseur via une
clé USB, car les notes sur Wikileaks ont indiqué que les méthodes
d'installation USB étaient désactivées dans un microprogramme
spécifique. Il a dit, cependant, qu'il y a encore une chance que la CIA ait des techniques d'infection à distance."L'outil
semble être en cours de développement. Les capacités qu'il possède ne
peuvent pas actuellement capturer des vidéos, selon les documents
divulgués. Mais c'est un objectif du projet. Il peut enregistrer de
l'audio, mais il ne l'envoie pas en temps réel au CIA. Au lieu de cela, il copie le téléviseur comme un fichier ", a ajouté Hickey.Il
a noté que les attaques seraient probablement limitées, en ce sens que
la CIA devrait être proche pour récolter les données volées. "Effectivement,
ils installent une application sur votre téléviseur via USB, ils
sortent de leur activité d'espionnage et reviennent avec un point
d'accès Wi-Fi plus tard. Lorsque le téléviseur voit la Wi-Fi de la CIA,
il télécharge tout l'audio capturé qu'il a Enregistré des personnes autour de la télévision, même s'ils pensaient que c'était hors tension.Le logiciel malveillant supprime également le voyant d'alimentation du
téléviseur pour que le téléviseur soit éteint, mais il a permis aux
espions de continuer à enregistrer.
Protection de la CIASamsung n'a pas répondu à une demande de commentaire au moment de la
publication, et Forbes n'a pas été en mesure de vérifier de manière
indépendante la véracité des réclamations faites sur Wikileaks, qui a
publié un énorme lot de dossiers présumés de la CIA aujourd'hui sous le
nom de Vault 7. Ce
hack n'a travaillé que sur certaines versions de firmware du même
téléviseur, il a été testé par les agences sur les téléviseurs exécutant
les versions de firmware 1111, 1112 et 1116. Ils n'ont pas trouvé un
moyen de pirater la version de firmware 1118 et plus, en passant par ce
qui est Mentionné dans les documents. Mais il existe une façon simple pour les utilisateurs de se protéger, selon Hickey. Il
a déclaré que la mise à jour de la télévision pourrait bien tuer
l'outil de la CIA, car il n'y a aucune indication que la CIA puisse
utiliser le logiciel malveillant Weeping Angel sur les téléviseurs
Samsung exécutant le dernier firmware au-dessus de celui spécifié, à
savoir 1118. Comme indiqué dans un fichier divulgué: "Mise à jour Le firmware sur Internet peut supprimer l'implant (non testé) ou des
parties de l'implant ... La version du microprogramme 1118 + a éliminé
la méthode d'installation USB actuelle. "Cependant, dans ces mêmes notes d'ingénierie est une fonctionnalité pour "prévenir les mises à jour". Cela
pourrait signifier que la CIA avait trouvé un moyen d'empêcher que le
dispositif Samsung ne se mette à jour automatiquement, ou du tout. Lorsque les utilisateurs trouvent qu'ils ne peuvent pas mettre à jour,
il existe un code de réinitialisation pratique dans le même fichier de
Wikileaks, ce qui devrait permettre de réinitialiser les mises à jour.Comme
le montrent les cas récents, les téléviseurs intelligents Samsung ont
fait l'objet de problèmes de confidentialité et de sécurité. Le
mois dernier, Forbes a révélé que le FBI avait cherché avec succès la
téléviseur Samsung d'un suspect dans le cadre d'une enquête sur le
matériel d'abus sexuel pour enfants. En 2015, il y avait une mini-aventure sur Samsung partageant les conversations enregistrées par la télévision avec des tiers.Le moteur de recherche Shodan pour les périphériques connectés a
également pu recueillir des informations sur certains téléviseurs
Samsung qui sont exposés sur le Web, ce qui peut les laisser ouverts aux
pirates sur n'importe quelle planète. Weeping Angel lui permet de pirater un téléviseur intelligent Samsung - en particulier la série F8000 . Il reste la possibilité que le MI5 ait la capacité de piratage de télévision avant la CIA. "Le
code source est désinfecté du« Royaume-Uni »moins les communications et
le chiffrement», a déclaré David Lodge, chercheur de Pen Test Partners.
"Ceci est plus important pour moi - cela implique que MI5 avait déjà cette solution."Le botnet Mirai a utilisé des périphériques piratés à
puce pour détruire Dyn, une société de services de domaine, en inondant
ses serveurs avec un trafic artificiel. L'attaque a entraîné de nombreux sites Web populaires tels que PayPal,
Twitter et Amazon en mode hors connexion pendant une partie de la
journée.
http://www.zdnet.com/video/major-us-cities-are-plagued-by-millions-of-exposed-iot-devices/ Le
programme classé "secret", développé lors d'un hackathon entre les
espions de la CIA et le service de sécurité domestique britannique MI5 à
la mi-2014, est considéré comme une application télévisée intelligente,
mais il peut enregistrer de l'audio depuis ses environs, par exemple Un salon ou un bureau occupé.Selon Shodan, le moteur de recherche d'appareils connectés à Internet,
il y a au moins 11 300 téléviseurs intelligents Samsung connectés à
Internet.
Extraire les informations d'identification ou l'historique du navigateur Extraire les informations d'identification WPA / WiFi Insérez le CERT de la CA racine pour faciliter le MitM du navigateur, de l'accès à distance ou de la demande d'Adobe Enquêter sur la fonctionnalité Accès à distance Enquêter sur les ports d'écoute et leurs services respectifs Essayez d'annuler / etc / hosts pour bloquer les mises à jour Samsung sans requête DNS et iptables (référencé par SamyGo) Ajoutez
les appels de mise à jour de ntpclient aux scripts de démarrage pour
synchroniser l'heure système de l'implant pour des timestamps précis de
collecte audio
Nota: Les
hacks soulignent les risques des dispositifs dits "Internet de choses"
dont la grande majorité est dotée d'un accès réseau et de
fonctionnalités informatiques sans être sécurisé de manière adéquate. Les
téléviseurs et d'autres appareils connectés à Internet manquent presque
totalement de sandboxing d'application et d'autres atténuements
d'exploitation qui font partie intégrante des systèmes d'exploitation
informatiques et mobiles. Pire
encore, la plupart des périphériques exécutent d'anciennes versions de
Linux et des navigateurs open source qui contiennent des vulnérabilités
critiques. Bien que les correctifs soient généralement disponibles sur Internet
pour les composants individuels, les fabricants offrent rarement aux
clients un moyen de les installer sur les périphériques en temps
opportun. Tout le monde peut configurer un émetteur DVB-T personnalisé avec un
équipement évalué entre 50 $ et 150 $ et commencer à diffuser un signal
DVB-T.Les signaux de télévision Rogue peuvent fournir des commandes malveillantes de HbbTV.Selon Scheel, le problème est que la norme HbbTV, portée par les
signaux DVB-T et prise en charge par tous les téléviseurs intelligents,
permet d'envoyer des commandes qui indiquent aux téléviseurs
intelligents d'accéder et de charger un site Web en arrière-plan.Les experts en médecine légale qui enquêtent sur le piratage
n'auraient aucun moyen de retransmettre l'attaque à sa source sur DVB-T,
à moins que l'attaquant ne recommence à diffuser.Il est presque impossible de nettoyer les téléviseurs intelligents infectés.Scheel dit qu'il a testé son attaque avec des commandes HbbTV
déchaînées via les signaux DVB-T seulement, mais, en théorie, l'attaque
devrait également fonctionner sur les chaînes DVB-C (Digital Video
Broadcasting - Cable) et IPTV. Au salon Consumer Electronics , Arris a fait ses débuts sur
un routeur Wi-Fi qui analyse vos appareils à puce grâce à McAfee's
Global Threat Intelligence. Si le routeur détecte une activité suspecte sur votre lampe
intelligente ou la caméra que vous avez dans la chambre de votre enfant,
elle suspendra l'accès, en veillant à ce que vos périphériques ne
puissent être utilisés pour rien de malicieux.
Scheel a développé un deuxième exploit, qui a exploité une
vulnérabilité plus ancienne dans la fonction JavaScript
Array.prototype.sort (), le support de tous les navigateurs, même par
ceux livrés avec des téléviseurs intelligents.
Heureusement,
il existe des mesures préventives que les utilisateurs peuvent mettre
en place pour rester au courant de leur sécurité personnelle. En voici quelques uns:• Maintenez le microprogramme de votre appareil mis à jour et
installez les derniers correctifs des développeurs dès que ceux-ci
seront disponibles.• Toujours vérifier le manuel, les fonctionnalités et les paramètres
pour toute option qui pourrait être un autre terme pour l'exploration de
données.• Ne faites pas d'activités liées à la banque sur votre Smart TV. Utilisez plutôt un smartphone ou un ordinateur portable sécurisé.• Téléchargez des applications de sécurité Android sur votre
téléviseur Android, car celles-ci peuvent être gérées par l'appliance
intelligente.• Effectuez des analyses de logiciels malveillants régulièrement pour éviter les menaces nuisibles.• Configurez des réseaux distincts pour votre Smart TV et vos gadgets
personnels pour empêcher les intrus d'accéder facilement à vos
appareils.• Couvrez l'appareil lorsque vous n'êtes pas utilisé pour éviter tout visionnement indésirable de tiers.•
Ne cliquez pas à la hâte sur les messages qui s'affichent à l'écran, à
moins qu'ils ne proviennent d'une source fiable et fiable. Mieux encore, évitez d'accepter le tout.• Soyez aussi prudent que vous le feriez sur un ordinateur personnel lors de la visite de sites sur Smart TV.• Respectez les divertissements personnels sur la télévision tout en
gardant d'autres activités, comme la navigation sur les réseaux sociaux,
sur des gadgets sécurisés.• Déconnectez-vous de l'Internet lorsque le téléviseur intelligent n'est pas utilisé.
L'Agence de renseignement centrale des États-Unis et ses agences
alliées peuvent contourner le cryptage d'applications telles que
WhatsApp et Signal en entrant dans un périphérique Android et en
diffusant des données avant même que le cryptage ne soit appliqué.