La dernière astuce révélée le week-end n’a rien à voir avec le Parti démocrate ou George Soros, et à la place d’un groupe de mystérieux hackers par le nom « Les courtiers fantômes » prétend avoir piraté le groupe Equation – un gouvernement de cyberattaque piratant un groupe associé à la NSA et a publié un tas d’outils de piratage de l’organisation. Les pirates demandent également 1 million de Bitcoin (environ 568 millions de dollars) en une vente aux enchères pour libérer plus de fichiers.
« Les sponsors du gouvernement de l’attention de la cyber-guerre et ceux qui en profitent !!!! » ont écrit les pirates dans un manifeste publié sur Pastebin, sur GitHub, et sur un dévoué Tumblr.
Combien vous payez pour les ennemis d’armes cybernétiques? Vous ne trouverez pas de malware dans les réseaux. Les deux parties, RAT + LP, état complet d’un ensemble d’outil sponsorisé? Nous trouvons des armes cyber faites par les créateurs de Stuxnet, Duqu, flamme. Kaspersky l’appelle Groupe Equation. Nous suivons le trafic du Groupe Equation. Nous trouvons la plage source du Groupe Equation. Nous piratons le Groupe Equation. Nous trouvons beaucoup d’armes cybernétiques du Groupe Equation. Vous voyez des images. Nous vous donnons quelques fichiers libérés du groupe Equation, vous voyez. Ceci est une bonne preuve non? Vous aimez!!! Vous cassez beaucoup de choses. Vous trouverez de nombreuses intrusions. Vous écrivez beaucoup de mots. Mais pas tout, nous vendons aux enchères les meilleurs dossiers.
En Février 2015, Ars technique surnommé Le Groupe Equation « Opération de piratage le plus avancé jamais découvert. » Selon Kasperky, le « Groupe Equation » est un acteur de la menace qui dépasse tout ce qui est connu en termes de complexité et de la sophistication des techniques, cela a été actif pendant près de deux décennies. « Alors que Kaspersky Lab a arrêté brièvement de dire c’est la NSA, ses chercheurs ont aménagé de nombreuses preuves montrant l’agence d’espionnage américaine, incluant une longue série de noms de code (codenames) utilisés par le groupe Equation et trouvés dans les documents de la NSA top secret publiés par Edward Snowden. Le groupe Equation, selon Kaspersky Lab, a ciblé les mêmes victimes que le groupe derrière Stuxnet, qui est largement soupçonné d’avoir été une opération américano-israélienne conjointe visant le programme nucléaire de l’Iran, et a également utilisé deux des mêmes exploits jour-zéro (zero-day).
Les «victimes» mondiales du groupe Equation sont énoncées dans la carte ci-dessous: Ce n’est pas un secret que le groupe ne soit pas particulièrement enthousiasmé par l’Iran ou la Russie.
Il est ce pirate collectif secret que les « Shadow Brokers » ont prétendu avoir piraté, et aurait volé certains de ses outils de piratage. Ils ont publicisé la décharge samedi, tweetant un lien vers le manifeste à une série de sociétés de médias.
Selon Motherboard, les fichiers sous-évalués contiennent principalement des scripts d’installation, les configurations pour serveurs de commande et de contrôle, et les exploits ciblant les routeurs et les pare-feu spécifiques. Les noms de certains des outils correspondent aux noms utilisés dans les documents Snowden, tels que « BANANAGLEE » ou « EPICBANANA. » Les pirates ont libéré 60% des dossiers qu’ils prétendaient avoir pris au groupe Equation. Les courtiers de l’Ombre disent qu’ils libéreraient les données restantes au plus offrant dans une vente aux enchères Bitcoin (ils ont reçu trois offres à ce jour). S’ils reçoivent un extraordinaire 1.000.000 Bitcoins, une valeur d’environ 560 millions $, ils libéreraient tous les fichiers.
Un examen des dossiers a révélé ce qui semble être les vulnérabilités et les exploits pour certains pare-feu largement utilisés – les technologies de sécurité réseau qui visent à bloquer les fouineurs numériques d’entrer. Suiche a affiché un aperçu pratique des produits concernés. Il a dit à tout le moins les exploits pour les produits Cisco inclus « vrai code » conçu spécifiquement pour prendre le contrôle des pare-feu. « Ce n’est pas généré automatiquement ou quelque chose comme ça. »
Parallèlement ces exploits allégués étaient des implants – les logiciels malveillants qui sont secrètement abandonnés sur le réseau une fois que le pare-feu et d’autres mécanismes de sécurité ont été contournés. Il y avait aussi quelques scripts et des instructions de base pour l’utilisation du logiciel malveillant.
Alors qu’il était initialement difficile de savoir si les données sont légitimes, certains experts en sécurité conviennent qu’il est probable.
« Le code dans la décharge semble légitime, en particulier les exploits de Cisco … et ces exploits n’ont pas été publiques avant », a déclaré Matt Suiche, le fondateur de UAE based cybersecurity start-up Comae Technologies. « Le contenu semble légitime. »
« Si cela est un canular, les auteurs ont mis une quantité énorme d’effort dedans », a déclaré le chercheur en sécurité connu comme le Grugq a dit Motherboard. « Les fichiers de preuve semblent très légitimes, et ils sont exactement les sortes d’exploits que vous attendez d’un groupe qui cible les infrastructures de communication à déployer et à utiliser. » Claudio Guarnieri, un chercheur en sécurité indépendant qui a enquêté sur d’autres opérations de piratage par les agences de renseignement occidentales, a déclaré que les fichiers peuvent être d’un serveur de la NSA piraté utilisé dans une opération. Il a également averti que ceci est une analyse préliminaire et qu’une analyse plus approfondie est nécessaire.
Le fichier le plus récent est daté de Juin 2013, bien que les pirates aient falsifié les dates. Dmitri Alperovitch, le co-fondateur de la société de sécurité CrowdStrike, a théorisé que « les coulants étaient probablement assis sur cette information pendant des années, en attendant le moment le plus opportun pour la libérer. » CrowdStrike est surtout connu pour «conclure» immédiatement que tous les hacks récents de serveurs démocratiques liés ont été sous la direction du Kremlin.
Un chercheur de Kaspersky Lab a refusé de commenter. Un autre chercheur de Kaspersky Lab a noté sur Twitter qu’il n’y a « rien » dans les fichiers sous-évaluées qui les relie au groupe Equation, mais certains de leurs noms sont issus du catalogue ANT, un ensemble d’outils de piratage NSA publié par Der Spiegel à la fin de 2013. Il est intéressant de noter que si les fichiers sous-évalués par les courtiers de l’Ombre pourraient ne pas avoir un lien direct avec le groupe Equation, ils pourraient provenir d’une autre opération que celles observées par Kaspersky Lab.
Les courtiers de l’Ombre (Shadow Brokers) ont affirmé avoir obtenu les fichiers en suivant le «trafic» du groupe Equation, piratant le groupe et trouvant ses «armes informatiques. » (Les pirates n’ont pas répondu à une demande de commentaire, pas plus que la NSA.)
Comme le conclut Motherboard, alors que les motifs derrière cette décharge ne sont pas clairs, si légitime, cela pourrait être l’un des hacks les plus choquants de tout le temps.
En date du lundi après-midi, le porte-monnaie Bitcoin où les pirates acceptent les offres d’enchères a reçu trois offres à ce jour; il a un long chemin à parcourir pour atteindre 1 million. Si ce hack est confirmé pour être en effet d’une organisation liée à la NSA, nous supposons beaucoup plus que des fuites suivront, même si le paiement aura finalement lieu dans les coulisses.
En ce qui concerne les origines du nouveau groupe de « mystérieux » hackers, la spéculation est déjà monnaie courante que les Russes sont (encore) derrière cela. Cependant, comme le note Forbes, quelles que soient les origines de l’entaille alléguée, la NSA a quelque chose à se préoccuper au sujet de: Quelqu’un est là pour embarrasser l’agence et pourrait avoir les outils nécessaires pour faire exactement cela à un moment particulièrement chauffé dans la politique américaine. L’agence devrait, bien sûr, avoir un plan d’intervention. Snowden a réussi que les courtiers de l’ombre soient chassés pour une échelle beaucoup plus grande.
Traduction : Jean de Dieu MOSSINGUE
Source : Sott.net