La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Bistro => Discussion démarrée par: Marin le 17 février 2015 à 01:41:17
-
Kaspersky a publié sur son site Securelist la description d'une plateforme de malwares très avancée, nommée Equation.
En anglais :
Le communiqué qui résume les principaux points : http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
Le PDF avec tous les détails techniques passionnants : http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/Equation_group_questions_and_answers.pdf
Pour résumer :
- Pour se dissimuler, un des modules va jusqu'à infecter le firmware du disque dur de la victime. La dernière version supporte 12 constructeurs de disques durs différents, et utilise notamment des commandes ATA non-documentées et spécifiques à certains d'entre eux. La plateforme inclut également un bootkit, c'est à dire un module qui s'occupe d'infecter le bootloader (MBR) pour se lancer avant le système d'exploitation, qui est décrit comme très sophistiqué.
- La famille Equation se compose de divers éléments logiciels et modules, dont la fonction de l'un d'entre eux est uniquement d'évaluer pendant un temps si la cible est suffisamment intéressante, pour ensuite s'autodétruire ou bien télécharger les modules d'espionnage complets appropriés.
- Parmi les vecteurs d'infection, on a pu observer du code injecté dans un forum en ligne compromis, qui redirigeait certaines cibles très spécifiques vers un kit d'exploitation (décrit p. 23-26 du PDF, avec un extrait du code utilisé avec vBulletin p. 24), voire même au niveau d'une régie publicitaire présente sur des sites populaires au Moyen-Orient. Autre vecteur : l'interception de matériel physique ; un CD-ROM, destiné à un participant d'une conférence scientifique internationale, aurait été intercepté physiquement et infecté avec du code malveillant. Les machines déconnectées d'internet sont également ciblées, avec la création automatique, sur les clés USB, d'une partition cachée qui contient diverses informations collectées sur le système cible, et qui peuvent être lues au contact d'une autre machine infectée.
Le malware aurait été retrouvé dans des ambassades, des organismes diplomatiques, militaires, de recherche, des entreprises aérospatiales, médicales, des opérateurs de télécommunications, des médias... mais aussi chez des individus. Les principales cibles sont le Moyen-Orient et la Russie (voir diagramme p. 20).
- De nombreuses similitudes avec les malwares Stuxnet, Flame/Gauss et Regin, dont l'attribution à la NSA a été avérée ces derniers mois (pour ceux qui suivent), ont été relevées ; notamment, le partage de plusieurs exploits 0-day, le partage de mécanismes et de code cryptographique proches, et le croisement de diverses cibles (voir diagramme p. 5). De plus, une des chaînes décrivant un module a pu être croisée avec un des documents Snowden publiés dernièrement dans Die Spiegel.
On note que si tout semble mener vers elle, le nom de l'agence de renseignement n'est pas mentionné une seule fois dans les documents (sans doute pour éviter l'incident diplomatique). C'est toujours drôle de voir une société russe s'amuser à sinkholer[1] les serveurs des services secrets américains :)
On attend toujours le rootkit qui infectera le microcode CPU...
En attendant, on voit toujours certaines personnes qui pensent que bloquer le port 25 freinera la propagation des malwares...
[1] Dans le jargon : saisir, désactiver, déconnecter le nom de domaine d'un serveur ou un serveur malveillant.
-
C'est marrant une compagnie qui marchande un logiciel malevillant en faisant croire que c'est un logiciel contre les logiciels malveillants.
-
C'est marrant une compagnie qui marchande un logiciel malevillant en faisant croire que c'est un logiciel contre les logiciels malveillants.
Est-ce que ton message a un rapport avec le sujet, ou bien c'est un grief quelconque par rapport à ton expérience avec Kaspersky (dans quel cas nous ne pouvons pas savoir de quoi il s'agit) ?
-
Est-ce que ton message a un rapport avec le sujet, ou bien c'est un grief quelconque par rapport à ton expérience avec Kaspersky (dans quel cas nous ne pouvons pas savoir de quoi il s'agit) ?
Ce n'est pas qu'avec Kaspersky.
Toutes ces compagnies vendent des logiciels propriétaires pour des systèmes propriétaires et sont des backdoors. De plus ils sont tellement inutiles qu'ils peuvent être utilisés par leur maître pour censurer des informations sur leur inefficacité ou aussi sur les malversations financières des compagnies qui les opèrent.
Voilà pourquoi quand ils étudient un malware pour ensuite essayer de faire peur aux gens, ça me fait toujours rire.
-
Pour revenir au sujet, je suis sceptique sur ce que peut faire le code qui se lance avant le système d'exploitation : il ne peut plus continuer a s’exécuter une fois qu'il a donné la main au système d’exploitation, non ?
-
Pour revenir au sujet, je suis sceptique sur ce que peut faire le code qui se lance avant le système d'exploitation : il ne peut plus continuer a s’exécuter une fois qu'il a donné la main au système d’exploitation, non ?
Bah ouais, et pour pouvoir avoir accès à ça il faut avoir plus de privilèges et c'est ce que font les antivirus. Ensuite quand on veut écrire un malware, il suffit de péter l"antivirus" pour avoir accès au système complet.
-
Pour revenir au sujet, je suis sceptique sur ce que peut faire le code qui se lance avant le système d'exploitation : il ne peut plus continuer a s’exécuter une fois qu'il a donné la main au système d’exploitation, non ?
Sauf erreur de ma part, c'est pourtant ce que fait truecrypt, lorsque l'on active le chiffrement complet du disque : le mot de passe est demandé au chargement du bootloader, puis le disque est déchiffré à la volée, de façon transparente pour le système d'exploitation.
-
Une fois le système d’exploitation lancé, le noyau accès a toutes les ressources en exclusivité. Comment fait un logiciel charger avant le système d’exploitation pour voler du temps CPU, si il n'y a pas un second soft, adapté au système d’exploitation, qui continue le travail ?
Pour TrueCrypt, c'est bien le driver du disque dur qui continue le travail une fois le système d’exploitation chargé ?
Si je mets un système d'exploitation inconnue de la NSA (par exemple BeOS (https://fr.wikipedia.org/wiki/BeOS)) tu pense que le soft va pouvoir fonctionner une fois BeOS chargé ?
-
C'est expliqué page 10:
When the computer starts, GrayFish hijacks the OS loading mechanisms by injecting
its code into the boot record. This allows it to control the launching of Windows
at each stage. In fact, after infection, the computer is not run by itself more: it is
GrayFish that runs it step by step, making the necessary changes on the fly
C'est un peu comme faire tourner Windows dans un débugger donc.
-
Si je mets un système d'exploitation inconnue de la NSA (par exemple BeOS (https://fr.wikipedia.org/wiki/BeOS)) tu pense que le soft va pouvoir fonctionner une fois BeOS chargé ?
Sur les machines récentes, il y a la virtualisation HW qui supporte le mode nested.
Ecrire un malware "compatible" (aka fournissant un service poke/peek réseau) avec tous les OS x86_64 est donc possible.
-
C'est pour diminuer ce risque que les fabricants de PC désactivaient systématiquement la virtualisation Hardware par défaut dans le BIOS ?
Ce n'est plus le cas aujourd'hui, mais pendant des années les PC avec un CPU haut de gamme, qui prenait la virtualisation matérielle, ne pouvait pas l'utiliser sans un passage dans le BIOS.
-
Tu ne connais pas la pilule bleue?
-
C'est la fête !
Deux jours plus tard, des analystes de malwares viennent de publier des informations sur « Babar »[1], le malware d'espionnage attitré de la DGSE.
Deux papiers décrivant son fonctionnement interne ont été mis en ligne, de la part de :
- Marion Marschalek, et Joan Calvet, de chez ESET : https://drive.google.com/file/d/0B9Mrr-en8FX4dzJqLWhDblhseTA/view
- Paul Rascagnères, aka r00tbsd, de chez G DATA : https://blog.gdatasoftware.com/blog/article/babar-espionage-software-finally-found-and-put-under-the-microscope.html
Le sujet a fait l'objet de communication de la part de plusieurs journaux dès sa publication :
- Le Monde : http://www.lemonde.fr/pixels/article/2015/02/18/le-programme-espion-babar-a-un-grand-frere-evil-bunny_4575799_4408996.html
- Vice : http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france
- Le Soir : http://www.lesoir.be/797950/article/economie/vie-du-net/2015-02-18/babar-logiciel-espion-francais-qui-sevit-au-moyen-orient
En remontant à mars 2014, on peut trouver un document (http://www.spiegel.de/media/media-35683.pdf) envoyé par Snowden à Le Monde et Die Spiegel qui décrivait déjà la bestiole, en suspectant déjà aussi les services secrets français :
(https://motherboard-images.vice.com/content-images/contentimage/no-id/1424232310598487.png) (http://www.spiegel.de/media/media-35683.pdf)
Vice, qui a été contacté préalablement par les chercheurs, semble être plutôt catégorique sur son attribution par ces derniers à notre Direction Générale de la Sécurité Extérieure nationale...
[1] Ce n'est pas une blague.
-
Babar c'est des livres pour enfants avant d'être une émission télé!
-
Du coup, on connait déjà le nom de la prochaine version : "Martine".
-
Un article du Ouest France sur le sujet:
http://www.ouest-france.fr/disques-durs-la-nsa-aurait-mis-au-point-un-nouveau-logiciel-espion-3194041
-
Je suis impressionné par le faisceau de preuves irréfutables qui attribuent ce logiciel à la DGSE. Ca marche toujours comme ça dans le domaine de la sécurité ? :o
-
Je suis impressionné par le faisceau de preuves irréfutables qui attribuent ce logiciel à la DGSE. Ca marche toujours comme ça dans le domaine de la sécurité ? :o
Pour la DGSE ça relève plus de la supposition, mais pour la France il y a quand même des éléments clairs qui vont dans ce sens (il semble improbable que ce ne soit pas un malware d'état vu les cibles).
-
Il y en a d'autres à part le nom "Babar" et le programmeur "titi" ?
Je n'ai peut être pas assez approfondi la chose...
-
Il y en a d'autres à part le nom "Babar" et le programmeur "titi" ?
Je n'ai peut être pas assez approfondi la chose...
Je t'invite à regarder le PDF des renseignements canadiens : http://www.spiegel.de/media/media-35683.pdf
Outre « Babar » et « titi », on a l'utilisation du kilooctet plutôt que du kilobyte, la présence de la locale fr_FR, un anglais approximatif, des cibles assez particulières dont le Moyen-Orient, d'anciennes colonies françaises, diverses organisations francophones...