Des chercheurs en sécurité ont détecté des outils d’espionnage similaires à ceux diffusés par Shadow Brokers en avril 2017, mais dont l’usage est bien antérieur.
Une nouvelle affaire de fuite de données particulièrement gênante semble frapper de plein fouet la NSA, l’agence de cybersurveillance des Etats-Unis. Rappelez-vous, entre août 2016 et avril 2017, le mystérieux groupe de pirates Shadow Brokers avait ébranlé cette organisation en diffusant morceau par morceau un ensemble d’outils appartenant à « Equation Group », un nom de code utilisé par les chercheurs en sécurité qui désigne la NSA.
Certains de ces outils – en particulier l’exploit EternalBlue et la porte dérobée DoublePulsar – ont ensuite été utilisés par d’autres pirates pour réaliser des attaques globales d’une portée jusqu’alors inédite, à savoir WannaCry et NotPetya. Celles-ci ont fait des dommages considérables dans un grand nombre d’entreprises. Pour la NSA, c’était un moment d’humiliation suprême.
Un arsenal similaire à celui de Shadow Brokers
Mais maintenant, l’histoire rebondit et se complexifie. Les chercheurs en sécurité de Symantec ont en effet trouvé des « outils » qui sont similaires à ceux publiés par le groupe Shadow Brokers en avril 2017, mais dont l’usage remonte au moins à mars 2016. Ces logiciels d’espionnage appartiennent au groupe « Buckeye » alias APT3 ou Gothic Panda.
Selon The New York Times (NYT), qui a pu consulter un mémo d’analyse de la NSA au sujet de ce groupe, il s’agirait là d’une émanation du ministère chinois de la Sécurité de l’État.
Les malwares en question ont d’abord été utilisés à Hong Kong et en Belgique, puis au Luxembourg, au Vietnam et aux Philippines. Parmi les victimes figurent des instituts de recherche. Selon NYT, il y aurait également une organisation gouvernementale et un opérateur télécoms. Le piratage de ce dernier a peut-être permis aux attaquants d’accéder à des millions de contenus échangés, souligne le journal.
Techniquement, ces attaques s’appuient sur un outil d’exploit baptisé Bemstour. Celui-ci utilise deux failles zero-day pour se frayer un chemin vers les ordinateurs ciblés. L’une de ces failles est la même que celle utilisée par EternalBlue (CVE-2017-0143), l’autre est totalement nouvelle et n’a jamais été découverte auparavant (CVE-2019-0703).
Après avoir infecté la machine, Bemstour installe une porte dérobée que Symantec décrit comme une « variante de DoublePulsar ». Celle-ci serait toutefois de facture plus récente. Non seulement, elle est compatible avec davantage de versions de Windows, mais en plus, elle dispose d’une couche de protection supplémentaire.
L’affaire montre la fragilité des armes cybernétiques
Tout porte donc à croire, selon Symantec, que les hackers de Buckeye ont réussi à accéder eux aussi à une partie de l’arsenal de la NSA. Reste à savoir comment. L’une des hypothèses avancées par les chercheurs est qu’ils ont intercepté une attaque de la NSA en temps réel. Puis, en se basant sur les éléments techniques trouvés dans le flux réseaux, ils auraient reconstruit les outils de piratage de l’agence américaine. Une autre possibilité est le piratage d’un serveur de la NSA ou l’aide d’une source interne.
Quoiqu’il en soit, ce rebondissement démontre, une fois de plus, la fragilité des armes cybernétiques. Finalement, elles sont assez difficiles à garder secrètes et peuvent se retourner aisément contre son auteur, si elles tombent dans les mains d’un adversaire. Ces déconvenues en série vont peut-être faire réfléchir certains experts en stratégie au sein du gouvernement américain.
Sources : Symantec