Certains articles de veille peuvent faire l'objet de traduction automatique.
Plus de quatre ans après une un mystérieux groupe de pirates informatiques connu sous le nom de Shadow Brokers a commencé sans raison la fuite d’outils secrets de piratage de la NSA sur l’internet, la question que cette débâcle a soulevée – à savoir si une agence de renseignement peut empêcher son stock « zéro jour » de tomber entre de mauvaises mains-hante toujours la communauté de la sécurité. Cette blessure est maintenant rouverte, avec la preuve que les pirates chinois ont obtenu et réutilisé un autre outil de piratage de la NSA des années avant que les Shadow Brokers ne le mettent au jour.
Lundi, la société de sécurité Check Point a révélé qu’elle avait découvert des preuves qu’un groupe chinois connu sous le nom d’APT31, également connu sous le nom de Zirconium ou Judgment Panda, avait en quelque sorte accédé et utilisé un outil de piratage de fenêtres connu sous le nom d’EpMe créé par l’Equation Group, un nom de l’industrie de la sécurité pour les pirates hautement sophistiqués largement compris comme faisant partie de la NSA. Selon Check Point, le groupe chinois a construit en 2014 son propre outil de piratage à partir d’un code EpMe datant de 2013. Les pirates chinois ont ensuite utilisé cet outil, que Check Point a nommé « Jian » ou « épée à double tranchant », de 2015 à mars 2017, date à laquelle Microsoft a corrigé la vulnérabilité qu’il attaquait. Cela signifierait qu’APT31 aurait accès à l’outil, un exploit d' »escalade de privilèges » qui permettrait à un hacker ayant déjà pris pied dans un réseau victime d’obtenir un accès plus profond, bien avant les fuites des Shadow Brokers de fin 2016 et début 2017.
Ce n’est qu’au début de 2017 que Lockheed Martin a découvert l’utilisation de la technique de piratage par la Chine. Lockheed ayant une clientèle essentiellement américaine, Check Point émet l’hypothèse que l’outil de piratage détourné a pu être utilisé contre les Américains. « Nous avons trouvé des preuves concluantes que l’un des exploits que les Shadow Brokers ont divulgués était en quelque sorte déjà tombé entre les mains d’acteurs chinois », déclare Yaniv Balmas, responsable de la recherche en cybernétique chez Check Point. « Et non seulement il est tombé entre leurs mains, mais ils l’ont réutilisé et utilisé, probablement contre des cibles américaines ».
Une source familière avec les recherches et les rapports de Lockheed Martin sur la cybersécurité confirme à WIRED que la société a découvert que l’outil de piratage chinois était utilisé dans un réseau du secteur privé américain – qui n’est pas le sien ou qui ne fait pas partie de sa chaîne d’approvisionnement – qui ne faisait pas partie de la base industrielle de la défense américaine, mais a refusé de partager plus de détails. Un courriel d’un porte-parole de Lockheed Martin répondant aux recherches de Check Point indique seulement que « l’équipe de cybersécurité de la société évalue régulièrement les logiciels et technologies de tiers pour identifier les vulnérabilités et les signaler de manière responsable aux développeurs et autres parties intéressées ».
Les conclusions de Check Point ne sont pas la première fois que des pirates informatiques chinois ont, semble-t-il, réutilisé un outil de piratage de la NSA – ou du moins, une technique de piratage de la NSA. En 2018, Symantec a signalé qu’une autre puissante vulnérabilité de Windows à l’échéance du jour zéro, exploité dans les outils de piratage de la NSA EternalBlue et EternalRomance, avait également été reconverti par les pirates chinois avant leur exposition désastreuse par les Shadow Brokers. Mais dans ce cas, Symantec a noté qu’il ne semble pas que les pirates chinois aient réellement eu accès aux logiciels malveillants de la NSA. Au contraire, il semble qu’ils aient vu les communications réseau de l’agence et qu’ils aient fait de l’ingénierie inverse des techniques qu’elle utilise pour construire leur propre outil de piratage.
L’outil Jian d’APT31, en revanche, semble avoir été construit par une personne ayant un accès direct au programme compilé de l’Equation Group, selon les chercheurs de Check Point, dupliquant dans certains cas des parties arbitraires ou non fonctionnelles de son code. « L’exploitation chinoise a copié une partie du code, et dans certains cas, il semble qu’ils n’aient pas vraiment compris ce qu’ils ont copié et ce qu’il fait », explique Itay Cohen, chercheur chez Check Point.
Si Check Point affirme avec certitude que le groupe chinois a pris son outil de piratage Jian à la NSA, il y a matière à débat quant à ses origines, déclare Jake Williams, fondateur de Rendition Infosec et ancien hacker de la NSA. Il souligne que Check Point a reconstitué l’historique de ce code en examinant les temps de compilation, qui pourraient être truqués. Il pourrait même y avoir un échantillon manquant, plus ancien, qui montre que l’outil a été créé par les pirates chinois et pris par la NSA, ou même qu’il a commencé avec un troisième groupe de pirates. « Je pense qu’ils ont un biais de champ de vision en disant que c’était définitivement volée à la NSA », déclare M. Williams. « Mais pour ce que ça vaut, si vous me forciez à mettre de l’argent sur celui qui l’avait en premier, je dirais la NSA. »
Poster un commentaire