Symantec a récemment
publié les résultats d'une étude des informations publiées par WikiLeaks. Nous parlons de
Vault 7 , un ensemble de documents décrivant les principes du logiciel utilisé par la CIA pour casser des ordinateurs et des systèmes informatiques d'individus et d'organisations.
L'espionnage de la CIA a été géré par un groupe spécial que Symantec a surnommé Longhorn. Ses participants ont infecté les réseaux informatiques d'organes gouvernementaux de différents États, et les systèmes des entreprises de télécommunications et d'énergie, ainsi que des compagnies aériennes, ont également été infectés. La boîte à outils annoncée par les représentants de WikiLeaks a été utilisée, selon Symantec, de 2007 à 2011. Pendant ce temps, le groupe a compromis au moins 40 cibles dans 16 États différents, dont le Moyen-Orient, l'Europe, l'Asie, l'Afrique et les États-Unis (dans ce cas, très probablement, par erreur).
La boîte à outils du groupe Longhorn était très étendue. Symantec a pu trouver une correspondance entre les informations fournies par WikiLeaks et les attaques menées dans le passé en utilisant différentes méthodes. Il s'agit d'une coïncidence des protocoles cryptographiques (par exemple, le protocole RC5 personnalisé), des changements dans le compilateur utilisé et des méthodes d'attaque des réseaux et systèmes informatiques.
Il s'est avéré que Symantec lui-même surveillait de près, au mieux de ses capacités, les activités de Longhorn depuis 2014. En tout cas, c'est alors que Symantec a découvert un nouveau malware répandu dans les documents Word.
"Longhorn a utilisé des cyber-outils modernes et des vulnérabilités zero-day pour toucher des cibles dans le monde entier", a
déclaré la société sur son blog. «Le système de méthodes, d'outils et de méthodes utilisé par Longhorn s'est distingué parmi tous les autres, il ne fait donc aucun doute que le groupe a été impliqué dans toutes ces attaques.»
L'un des indicateurs surveillés était le
malware Fluxwire. Les modifications que le logiciel a subies correspondent au programme décrit par Symantec. Les spécialistes de cette société ont toutefois appelé le malware détecté Corentry. Mais il, pour autant que l'on puisse en juger, correspond exactement au logiciel qui apparaît dans les archives de WikiLeaks sous le nom de FluxWire. Par exemple, les modifications de FluxWare documentées par WikiLeaks sont entièrement cohérentes avec les modifications de Symantec Corentry. Si c'est plus simple, alors c'est le même logiciel avec des éléments spécifiques de «comportement», qui est décrit par Symantec et WikiLeals. Le 25 février 2015, les experts Symantec ont noté que les développeurs de ce logiciel utilisent désormais le compilateur Microsoft Visual C ++. Les mêmes données sont contenues dans l'archive Vault 7.
Beaucoup plus de similitudes peuvent être trouvées dans le logiciel, qui dans Vault7 apparaît sous le nom Archange. Dans les archives Symantec, il fonctionne comme Plexor. Les spécifications et les modules de ce logiciel sont décrits presque à l'identique dans les archives CIA et Symantec. Il ne fait aucun doute - c'est aussi le même programme. Vault7 contient des informations sur les fonctionnalités cryptographiques de l'activité du réseau CIA. Symantec note également ces fonctionnalités.
«Avant de diriger son malware vers la cible, Longhorn préconfigurait le progiciel, dont les traces pouvaient être trouvées par des mots spécifiques, des domaines C&C et des adresses IP avec lesquels ce logiciel devrait« communiquer ». Longhorn a utilisé des mots en majuscule, souvent «groupid» et «siteid», qui ont été utilisés pour identifier les campagnes et les victimes. Plus de 40 identifiants de ce type ont été étudiés, très souvent des mots de films, y compris des personnages, de la nourriture ou de la musique. Un exemple est une référence au groupe «La police», avec les mots de code REDLIGHT et ROXANNE », indique un rapport de Symantec.
WikiLeaks a publié la première partie de la collection de documents classifiés de la CIA le 8 mars. Cette collection, baptisée Vault 7, donne une bonne idée de l'ampleur du travail de cyberespionnage de cette organisation. Grâce à des programmes développés par ses employés, la CIA a pu pénétrer dans les réseaux informatiques de presque toutes les organisations. Après la publication de ces documents, il est devenu clair que les capacités de la CIA sont supérieures aux capacités de la NSA.
Maintenant, WikiLeaks
ne publie pas le code source des outils, dont les informations sont contenues dans la première partie de l'archive. Cela se fait pour diverses raisons, notamment le risque que de telles informations tombent entre les mains de cybercriminels.
Eh bien, la réaction de la CIA est assez naturelle. «Comme nous l'avons dit plus tôt, Julian Assange n'est pas du tout un bastion de vérité et d'honnêteté. La société américaine devrait être profondément enthousiasmée par la divulgation des documents Wikileaks, qui limitera la capacité de la CIA à protéger l'Amérique contre les terroristes et autres intrus », a déclaré le porte-parole.