Agence de Sécurité Nationale
Un cache volé de fichiers pouvant appartenir à la National Security Agency contient de véritables outils de piratage qui non seulement fonctionnent, mais présentent un niveau de sophistication rarement vu, selon les chercheurs en sécurité.
Cela inclut les logiciels malveillants qui peuvent infecter le micrologiciel d’un appareil et persister, même si le système d’exploitation est réinstallé.
“C’est terrifiant car cela démontre un niveau sérieux d’expertise et de capacité technique”, a déclaré Brendan Dolan-Gavitt, professeur adjoint à l’école d’ingénierie de l’Université de New York.
Il a fait partie des chercheurs qui ont examiné les exemples de fichiers du cache, après qu’un groupe anonyme appelé Shadow Brokers les ait mis en ligne.
Les fichiers auraient été volés à Equation Group, une équipe de cyberespionnage de premier plan qui pourrait être liée à la NSA.
Le groupe Equation a probablement aidé à développer le tristement célèbre ver informatique Stuxnet et aurait créé des logiciels malveillants qui peuvent être impossibles à supprimer une fois installés.
Déjà, les chercheurs ont découvert que les outils de piratage contenus dans les exemples de fichiers ciblent les produits de pare-feu et de routeur et le font en exploitant des failles logicielles, dont certaines pourraient être des vulnérabilités ou des défauts zero-day qui n’ont jamais été signalés auparavant.
Mercredi, Cisco a confirmé que les exemples de fichiers contenaient une faille inconnue affectant le logiciel de pare-feu de l’entreprise, et un correctif a été déployé.
D’autres fournisseurs concernés, notamment Juniper Networks, affirment qu’ils étudient toujours la question, mais que d’autres correctifs viendront probablement.
Brian Martin, directeur de Risk Based Security, a également étudié les exemples de fichiers et a déclaré qu’ils ciblaient également d’éventuelles vulnérabilités zero-day dans les produits chinois, y compris celles du fournisseur de pare-feu Topsec.
Cependant, les piratages peuvent ne pas être aussi dangereux que les chercheurs le craignaient initialement. Par exemple, les exploits trouvés dans les échantillons reposent sur un accès direct à l’interface du pare-feu, qui est normalement restreint aux utilisateurs Internet extérieurs, a déclaré Martin.
« Les exploits sont toujours utiles, mais ce n’est pas ce que les gens redoutaient », a-t-il ajouté.
Néanmoins, les outils de piratage n’étaient probablement pas faciles à développer. Dans les exemples de fichiers se trouvent également des logiciels malveillants qui peuvent cibler le micrologiciel d’un ordinateur appelé BIOS, a déclaré Dolan-Gavitt.
“Le BIOS est le premier morceau de code qui s’exécute lorsqu’un système démarre, et il contrôle donc tout le reste”, a-t-il ajouté.
En conséquence, tout logiciel malveillant installé sur le BIOS continuera à persister même si le système d’exploitation de l’ordinateur est réinstallé. Cela peut le rendre particulièrement utile pour espionner le trafic réseau d’un ordinateur ou injecter de nouvelles données.
Cependant, pour développer des logiciels malveillants, les créateurs auraient eu besoin de connaissances détaillées sur le matériel, a déclaré Dolan-Gavitt. Normalement, cela n’est pas rendu public, les créateurs peuvent donc avoir eu recours à la rétro-ingénierie.
Le malware BIOS semble affecter les produits Cisco, mais mercredi, la société a déclaré qu’elle avait déjà corrigé le problème via son processus de démarrage Secure Boot.
Remarque : lorsque vous achetez quelque chose après avoir cliqué sur des liens dans nos articles, nous pouvons gagner une petite commission. Lisez notre politique de lien d’affiliation pour plus de détails.