Le piratage du serveur Equation Group pourrait avoir de graves conséquences pour les opérations de la NSA et la politique étrangère américaine

Démonstration de la puissance d'un ennemi inconnu

Tournez-vous vers le bâtiment de la NSA. Photo de Gary Cameron / Reuters

Le 13 août 2016, des personnes non identifiées ont publié ouvertement le code source et les exploits de The Equation Group et ont promis de publier d'autres informations reçues du serveur piraté. L'importance de cet événement est difficile à surestimer.

Pour commencer, The Equation Group est affilié à la NSA et a vraisemblablement participé à des cyberattaques techniquement sophistiquées, telles que l'infection d'ordinateurs qui exploitent des centrifugeuses d'enrichissement d'uranium en Iran. En 2010, le malware Stuxnet, qui exploitait les vulnérabilités 0day dans Windows, a désactivé 1000 à 5000 centrifugeuses de Siemens en raison d'une modification de leur vitesse de rotation. En conséquence, les Jeux olympiques américano-israélienssérieusement freiné le programme nucléaire iranien et aurait empêché les frappes aériennes israéliennes sur les installations nucléaires iraniennes .

Le malware utilisé, appelé plus tard Stuxnet , a été détecté en juin 2010 par des experts antivirus du Bélarus qui ne savaient pas de quoi il s'agissait. Le fait est que, par erreur de programmeurs américains ou israéliens, le virus a continué de se propager en dehors de la zone touchée et a commencé à désactiver les installations industrielles de Siemens dans d'autres pays. Personne n'a été tenu responsable de cela.

En plus de Stuxnet, The Equation Group est crédité de la paternité de plusieurs autres cyberarmes et logiciels espions offensifs sophistiqués, qui ont été utilisés pour l'espionnage dans les agences gouvernementales de pays étrangers et les sociétés commerciales. Ce sont les plus connus dans les cercles étroits des spécialistes des outils Duqu et Flame. Comme Stuxnet, ces outils ont été soigneusement analysés dans l'unité de piratage de la Global Research & Analysis Team (GReAT) de Kaspersky Lab - peut-être la meilleure unité d'analyse de cyberarmes étrangères offensives au monde. Les experts russes sont arrivés à la conclusion et ont trouvé des preuves que ces programmes ont des modules, modules et fragments de code communs, c'est-à-dire qu'une ou plusieurs équipes d'auteurs proches les unes des autres ont été engagées dans le développement.

Les hypothèses selon lesquelles les États-Unis soutiennent les cyberattaques ont été exprimées à plusieurs reprises. Et maintenant, le groupe de hackers Shadow Brokers menace de fournir une preuve directe de cela.



Des inconnus qui s'appellent groupe de hackers Shadow Brokers ont publié plusieurs exploits et organisé une étrange vente aux enchères dans laquelle les paris perdants ne sont pas restitués aux participants. Le gagnant de l'enchère a été promis d'ouvrir toutes les informations volées sur les serveurs de The Equation Group.

Tout cela aurait semblé plutôt suspect et peu plausible, si ce n'était pour quelques circonstances.

Premièrement, des exploits réels sont publiés - ils sont mentionnés dans le catalogue des logiciels espions de la NSA, publié par Edward Snowden en 2013. Mais ces fichiers que Snowden n'a jamais publiés, ce sont de nouvelles informations.

Comme l' ont montré les premiers résultats des tests , les exploits publiés fonctionnent vraiment.

Edward Snowden lui-même a commenté la fuite hier avec une douzaine de tweets. Il a précisé que le piratage de The Equation Group avait vraiment eu lieu (c'est-à-dire qu'il croit en la véracité de Shadow Brokers). Dans le même temps, Snowden a publié plusieurs détails sur le fonctionnement des logiciels espions de la NSA, ainsi que sur les cyberarmes qui sont créées dans d'autres pays. Il a déclaré que les attaques ciblées visent des cibles spécifiques et ne sont pas détectées pendant plusieurs années. Les informations sont collectées via des serveurs C2, qui sont en pratique appelés Counter Computer Network Exploitation ou CCNE, ou via un proxy ORB (proxy hops). Les pays tentent de découvrir le CCNE de leurs adversaires et d'explorer leurs outils. Naturellement, dans de tels cas, il est important de ne pas révéler le fait que les armes de l'ennemi ont été découvertes afin qu'il continue de les utiliser, de sorte que vous ne pouvez pas supprimer les logiciels malveillants des systèmes déjà infectés.

Edward Snowden dit que la NSA n'est pas unique à cet égard. L'intelligence des autres pays fait exactement la même chose.

Sachant que l'adversaire recherche et explore le CCNE, l'unité de piratage de la NSA connue sous le nom de TAO ( Office of Tailored Access Operations ) a reçu pour instruction de ne pas laisser leurs programmes binaires sur les serveurs du CCNE, mais "les gens sont paresseux" et parfois des crevaisons se produisent, dit Snowden.

Apparemment, c'est exactement ce qui s'est passé maintenant. Edward Snowden dit que les serveurs CCNE de la NSA ont déjà été piratés, mais qu'une démonstration publique a maintenant eu lieu pour la première fois. Pourquoi l'ennemi a-t-il organisé une telle manifestation? Personne ne le sait. Mais Edward Snowden soupçonne que cette action Shadow Brokers est plus susceptible d'avoir une explication diplomatique pour l'escalade du conflit autour de la récentepiratage du Comité national démocrate américain , après quoi 20 000 courriels privés de politiciens américains ont été publiés sur Wikileaks, qui révèlent l'intérieur disgracieux des jeux politiques.

"Les preuves indirectes et le bon sens indiquent l'implication de la Russie", écrit Edward Snowden. "Et c'est pourquoi cela est important: cette fuite est probablement un avertissement que quelqu'un pourrait prouver que les États-Unis sont coupables de toute attaque menée à partir de ce serveur CCNE particulier."


«Cela pourrait avoir de graves conséquences pour la politique étrangère. Surtout si l'une de ces opérations était dirigée contre les alliés américains. Surtout si c'était lié aux élections. »

Ainsi, selon Snowden, les actions de Shadow Brokers sont une sorte de frappe préventive pour influencer les actions de l'adversaire, qui réfléchit maintenant à la manière de réagir au piratage du Comité national démocrate américain. En particulier, quelqu'un avertit les Américains que l'escalade du conflit sera inappropriée ici, car il a tous les atouts.

Snowden a ajouté que les rares données disponibles indiquent qu'un pirate informatique inconnu a effectivement accédé à ce serveur NSA, mais a perdu l'accès en juin 2013. Probablement, la NSA a simplement cessé de l'utiliser à ce moment-là.

Certains experts sont également enclins à croire que le piratage de The Equation Group n'est pas un faux. En témoigne l' exploit indépendant et trader de vulnérabilité 0day The Grugq, un spécialiste de la sécurité indépendant, Claudio Guarnieri, qui analyse depuis longtemps les opérations de piratage menées par les agences de renseignement occidentales. Dmitry Alperovich (CrowdStrike) est d'accord avec lui. Il pense que les pirates informatiques "se sont assis sur ces informations pendant des années, attendant le moment le plus réussi pour la publication".

"Certainement, tout semble réel", a déclaré Bruce Schneier, l'un des experts bien connus dans le domaine de la sécurité de l'information. "La question est, pourquoi quelqu'un l'a-t-il volé en 2013 et publié cette semaine?"

Analyse des sources publiéesHier, des experts de la division GReAT de Kaspersky Lab ont publié . Ils ont comparé des fichiers publiés avec des échantillons de malwares connus auparavant appartenant à The Equation Group - et ont trouvé de fortes similitudes entre eux. En particulier, The Equation Group utilise une implémentation spécifique du chiffrement RC5 / RC6, où la bibliothèque de chiffrement effectue l'opération de soustraction avec la constante 0x61C88647 , tandis que dans le code RC5 / RC6 traditionnel couramment utilisé, une autre constante 0x9E3779B9 est utilisée , c'est-à-dire -0x61C88647 . Étant donné que l'addition est plus rapide que la soustraction sur certains équipements, il est plus efficace de stocker la constante dans une valeur négative pour l'ajouter, plutôt que de la soustraire.



La comparaison a trouvé des centaines de morceaux de code similaire entre les anciens échantillons et les fichiers publiés par Shadow Brokers.



Si Snowden a raison et que les actions de Shadow Brokers sont plus susceptibles d'être «diplomatiques», alors la «vente aux enchères» annoncée avec des conditions étranges n'est qu'un simulacre. Il n'est nécessaire que pour les relations publiques, afin que l'histoire soit capturée dans les médias et diffusée le plus largement possible. Ils dupliquent toutes les références à la «vente aux enchères» sur leur twitter . Rappelons que Shadow Brokers a promis de donner des informations au gagnant de l'enchère, qui paiera un montant irréaliste de 1 million (!) De Bitcoins, soit plus d'un demi-milliard de dollars. Actuellement, ils ont reçu 15 paris dans leur portefeuille pour un total de 1 629 BTC. L'enchère maximale est de 1,5 BTC.

Le référentiel d'exploitation de The Equation Group a été supprimé de Github. La raison n'est pas que le code du malware y est publié, car les exploits gouvernementaux de la même The Hacking Team sont depuis longtemps sur Github et ne sont pas satisfaisants. Github appelle la raison une tentative de profiter de la vente de code volé, ce qui contredit les termes de l'accord d'utilisation de Github. Les fichiers sont également supprimés du service multimédia Tumblr. Cependant, les exploits sont encore disponibles auprès de plusieurs autres sources:

» aimant Xt = urne :?: btih: 40a5f1514514fb67943f137f7fde0a7b5e991f76 & tr = http: //diftracker.i2p/announce.php
» http://dfiles.ru/files/9z6hk3gp9
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» http://95.183.9.51/
Fichiers libres (Proof): eqgrp sans-file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
GPG --output --decrypt eqgrp sans-file.tar.xz eqgrp sans-file.tar.xz.gpg
mot de passe pour l' archivage : theequationgroup

WikiLeaks a promis de télécharger bientôt des fichiers dans sa propre maison.

Le service de presse de la NSA a refusé de commenter .

Source: https://habr.com/ru/post/fr396779/