WikiLeaks dévoile les méthodes de la CIA pour percer Windows

Par

WikiLeaks publie vingt-sept documents détaillant le fonctionnement de Grasshopper, un outil qui permet de fabriquer sur mesure des logiciels d'installation de virus informatiques capables de déjouer les défenses des ordinateurs utilisant les logiciels de Microsoft.

Cet article est en accès libre. Découvrez notre offre spéciale ! S'abonner

Après avoir révélé comment la CIA s’attaquait aux ordinateurs d’Apple, puis comment elle était capable de dissimuler l’origine de ses virus, WikiLeaks détaille, vendredi 7 avril, la méthode utilisée par l’agence américaine de renseignement pour infecter en toute discrétion les ordinateurs équipés des logiciels de la société Microsoft.

Au total, WikiLeaks a mis en ligne 27 documents, que Mediapart et La Repubblica ont pu consulter, dans le cadre de sa série « Vault 7 » consacrée aux attaques informatiques ciblées de la CIA. Ceux-ci expliquent le fonctionnement de Grasshopper, un « outil modulaire utilisé pour construire des installeurs personnalisés pour des utilisateurs cibles utilisant les systèmes opérateurs de Microsoft Windows et pour installer de manière persistante les payloads [« charge utile » en français. Dans le cas d’un virus, ce terme désigne son activité malicieuse – ndlr] sur ces cibles », explique WikiLeaks.

capture-d-e-cran-2017-04-07-a-11-01-25
En résumé, Grasshopper intervient dans une phase particulièrement délicate d’une attaque informatique. Une fois qu’un programme malveillant – qu’il permette de capter des données, de prendre le contrôle de la cible ou toute autre action – a été conçu, que le pirate a réussi à trouver une faille dans l’ordinateur de sa cible pour s’y introduire, encore faut-il pouvoir y déposer le virus, le déployer et le faire fonctionner sans se faire repérer. Pour cela, le hacker devra développer un programme spécifique, un programme d’installation, qui assurera la sécurité du virus dans le système de la cible.

Grasshopper automatise et facilite cette phase en permettant de créer des logiciels d’installation personnalisés. Leur but est de préparer le terrain pour l’attaque informatique, d’assurer son succès. Comme le résume le slogan de Grasshopper, qui signifie sauterelle en anglais, il s’agit ici de « Regardez avant de sauter » (« Look before leap »). « L’opérateur configure un programme d’installation pour installer une ou plusieurs payloads en utilisant diverses techniques », explique le Guide d’utilisation de Grasshopper publié par WikiLeaks. « Chaque installeur de payload est construit à partir de composants individuellement configurés qui implémentent des parties de la procédure d’installation. »

Pour construire son logiciel, l’opérateur de la CIA dispose de toute une série de modules, des briques, qu’il ajoutera en fonction de ses besoins grâce à des commandes logiques simplifiées. Parmi ces composants, figure notamment Stolen Goods. Le guide d’utilisateur publié par WikiLeaks, datant de 2014, détaille la version 2.1 de ce module. Il y est précisé que cette dernière version, fortement améliorée, est surnommée SG2. Il s’agit d’un « module de persistance », une fonctionnalité gérant la persistance des données, c’est-à-dire les sauvegardes et éventuelles restaurations. Dans le cas d’un virus, un module de persistance permet donc de conserver les données entre deux sessions, mais également de le réinstaller si une partie du programme est supprimée.

Outre ses fonctions de sauvegarde et de maintien de l’attaque, SG2 permet également de dissimuler celle-ci. « SG 2.1 a intégré un composant furtif », explique le guide. « Désormais, SG2 “cachera” les secteurs du disque, où les données de la charge utile sont écrites, à une inspection avec des outils tels que WinHex », un logiciel d’expertise légale informatique. De même, lors du démarrage de l’ordinateur, SG2 s’assurera que la payload soit bien lancée, sans alerter l’utilisateur.

L’origine de SG2 est également instructive quant aux méthodes de travail des ingénieurs de la CIA qui n’hésitent pas à s’inspirer de sources extérieures. Le guide d’utilisateur précise que ce module est « basé sur des composants provenant d’un malware d’une tierce partie ». Plus précisément, l’ancêtre de SG2 n’est autre que Carberp un « rootkit [ou « outil de dissimulation d’activité » utilisé pour mener une intrusion et la pérenniser en la dissimulant – ndlr] russe utilisé par le crime organisé ».

Apparu en 2010, Carberp reposait sur un « botnet », un réseau d’ordinateurs piratés et contrôlés à distance, pour s’attaquer aux applications de quelque 800 institutions bancaires afin de détourner l’argent de leurs clients. En quelques années, environ 250 millions de dollars auraient été subtilisés, principalement au détriment d’épargnants russes. La carrière de Carberp avait progressivement pris fin après des séries d’arrestations en 2012 et 2013 en Russie et en Ukraine. Mais, avant de fermer boutique, les derniers membres du groupe de hackers derrière le virus ont mis en ligne l’intégralité de son code source, tout d’abord dans le but de le vendre au prix de 5 000 dollars, et ensuite gratuitement.

À l’époque, de nombreux experts informatiques s’étaient alarmés de la diffusion massive du code de Carberp dont n’importe quel hacker pourrait s’emparer pour le modifier, l’améliorer et créer son propre malware. Ils n’avaient peut-être pas prévu que le danger proviendrait également d’agences gouvernementales. C’est pourtant exactement ce qu’ont fait les ingénieurs de la CIA. La publication du code source de Carberp leur a permis de « facilement “emprunter” au malware les composants nécessaires ».

« La majeure partie de Carberp n’a pas été utilisée dans Stolen Good 2 », précise cependant le manuel d’utilisateur, « en particulier tous les composants du bot net/communications ». Seules les principales fonctionnalités du virus russe ont été « prises et modifiées pour correspondre à nos besoins », assure la CIA. De plus, « tous les composants pris de Carberp ont été soigneusement analysés pour repérer des fonctionnalités cachées, backdoors, vulnérabilités, etc. Une vaste majorité du code de Carberp qui a été utilisé a été lourdement modifié. Très peu de morceaux du code original existent sous une forme non modifiée », affirme l’agence.

Les autres modules permettent, de la même manière, de personnaliser les différentes étapes de l’installation d’un programme malveillant. « Run » par exemple « fournit une manière simple pour déposer et exécuter un programme d’installation Windows ». Pour l’ensemble de ces composants, Grasshopper se vante de pouvoir déjouer une bonne partie des « Personal Security Products » (PSP), les « produits de sécurité personnels », à savoir ceux des fabricants d’anti-virus tels que MS Security Essentials, Rising, Symantec Endpoint et Kasperky IS.

Grasshopper permet en outre de configurer le logiciel afin que celui-ci produise des fichiers résumant ses activités et qui, une fois récupérés, permettent d’évaluer les résultats de l’attaque.

WikiLeaks publie ainsi une série de tableaux, datant de 2014, résumant, pour différents modules, par quels anti-virus ils pourraient être détectés en fonction des différentes versions de Windows. Des indications qui permettent aux ingénieurs de la CIA de personnaliser leurs programmes en fonction des configurations de l’ordinateur de la cible afin de minimiser encore les risques d’être repérés.

La publication de ces documents sur Grasshopper s’inscrit dans le cadre de la série « Vault 7 » lancée par Wikileaks au début du mois de mars. L’organisation expliquait alors être entrée en possession de « plusieurs centaines de millions de lignes de code » détaillant les activités du Center for Cyber Intelligence (CCI), le centre pour le cyber-renseignement, de la CIA et plus particulièrement Engineering Development Group (EDG), le groupe de développement d’ingénierie, chargé de mettre au point les attaques informatiques de l’agence contre des cibles précises.

Prolongez la lecture de Mediapart Accès illimité au Journal contribution libre au Club Profitez de notre offre spéciale