Des chercheurs en sécurité ont détecté des outils d’espionnage similaires à ceux diffusés par Shadow Brokers en avril 2017.

On se souvient qu’entre août 2016 et avril 2017, le groupe de pirates Shadow Brokers avait ébranlé la NSA en diffusant morceau par morceau un ensemble d’outils appartenant à « Equation Group », un nom de code utilisé par les chercheurs en sécurité qui désigne la NSA.

Certains de ces outils notamment  l’exploit EternalBlue et la porte dérobée DoublePulsar, ont ensuite été utilisés par d’autres pirates pour réaliser des attaques globales d’une portée jusqu’alors inédite, à savoir WannaCry et NotPetya.

Celles-ci ont fait des dommages considérables dans un grand nombre d’entreprises au grand dam de  la NSA qui en est sortie meurtrie.

L’histoire rebondit à nouveau en prenant une tournure bien plus inquiétante.

Les chercheurs en sécurité de Symantec ont en effet trouvé des « outils » qui sont similaires à ceux publiés par le groupe Shadow Brokers en avril 2017, mais dont l’usage remonte au moins à mars 2016.

Ces logiciels d’espionnage appartiennent au groupe « Buckeye » alias APT3 ou Gothic Panda.

Selon The New York Times qui a pu consulter des informations de la NSA au sujet de ce groupe, il s’agirait là d’une émanation du ministère chinois de la Sécurité de l’État.

Les malwares ont d’abord été utilisés à Hong Kong et en Belgique, puis au Luxembourg, au Vietnam et aux Philippines.

Parmi les victimes figurent des instituts de recherche.

Selon le New York Time, il y aurait également une organisation gouvernementale et un opérateur télécoms.

Selon le journal, le piratage de ce dernier a peut-être permis aux attaquants d’accéder à des millions de contenus échangés,

Ces attaques s’appuient sur un outil d’exploit baptisé Bemstour.

Celui-ci utilise deux failles zero-day pour se frayer un chemin vers les ordinateurs ciblés.

L’une de ces failles serait  totalement nouvelle et n’aurait  jamais été découverte auparavant.

Après avoir infecté la machine, Bemstour installe une porte dérobée que Symantec décrit comme une « variante de DoublePulsar » qui serait toutefois plus récente : non seulement, elle est compatible avec davantage de versions de Windows, mais en plus, elle dispose d’une couche de protection supplémentaire.

La fragilité des armes cybernétiques

Selon Symantec, les hackers de Buckeye auraient réussi à accéder eux aussi à une partie de l’arsenal de la NSA.

 L’une des hypothèses avancées par les chercheurs est qu’ils ont intercepté une attaque de la NSA en temps réel.

Puis, en se basant sur les éléments techniques trouvés dans le flux réseaux, ils auraient reconstruit les outils de piratage de l’agence américaine.

 Une autre possibilité est le piratage d’un serveur de la NSA ou l’aide d’une source interne.

Ceci démontre, une fois de plus, la fragilité des armes cybernétiques.

Finalement, elles peuvent se retourner aisément contre leur auteur, si elles tombent dans les mains d’un adversaire.

De quoi faire réfléchir certains experts en stratégie au sein du gouvernement américain.

Voir :