ShadowBrokers et The Equation Group : analyse d'une fuite de données divulguant plusieurs 0day

Le 13 août dernier, un groupe se faisant appeler « The Shadow Brokers » dévoilait via divers médias (Tumblr, Twitter, GitHub) une suite d’outils de piratage prétendument dérobés à une entité affiliée à la NSA : « The Equation Group ».

La publication contenait deux archives chiffrées. Une première dont le mot de passe a intentionnellement été partagé, et une seconde archive dont le mot de passe a quant à lui été gardé secret.

En effet, la première archive ne représentait qu’un échantillon gratuit, une preuve de ce que possède The Shadow Brokers. Le groupe de pirates annonçait en revanche une vente aux enchères permettant au plus offrant d’acquérir la seconde archive, contenant les fichiers les plus intéressants. Son contenu ne sera donc pas dévoilé au public.

Winner can do with files as they please, we not release files to public. […] If our auction raises 1,000,000 (million) btc total, then we dump more Equation Group files, same quality, unencrypted, for free, to everyone.
Miroir du dépôt Github de The ShadowBrokers, README.md

Contrairement à ce que certains articles faisant un amalgame ont annoncé, le groupe a précisé que des fichiers supplémentaires, différents de l’archive précédente, seraient publiquement partagés si l’enchère atteignait 1 Million de Bitcoins (soit environ un demi-milliard de dollars).

Immédiatement, l’information subit une forte médiatisation faisant s’agiter les experts en sécurité informatique. L’échantillon gratuit est alors pris d’assaut sur Github et les sites d’actualités s’enflamment.

De nombreuses questions sont soulevées dans tous les articles et tweets :

• Qui est The Shadow Brokers ?
• À qui est lié le groupe ?
• The Equation Group est-il véritablement lié à la NSA ?
• Ces fichiers sont-ils authentiques ?

Des réflexions plus poussées émergent :

• Pourquoi avoir fixé comme objectif un prix aussi démesuré ?
• Cette publication ne serait-elle en réalité que purement médiatique ?
• Les États-Unis ayant été particulièrement visés par des piratages cette année, cette fuite de données serait-elle l’étape suivante à l’attaque de la campagne présidentielle d’Hilary Clinton ?
• La Russie serait-elle liée aux auteurs de la fuite ?

1 — The Shadow Brokers ou littéralement les « Courtiers de l’Ombre »

Le nom du groupe est certainement tiré du personnage du jeu vidéo « Mass Effect ». Ce dernier est le chef d’une organisation revendant des informations au plus offrant. C’est exactement le schéma proposé par le groupe avec la seconde archive mise aux enchères.

Plusieurs théories affluent autour de l’identité du groupe responsable de la fuite de données.

De nombreuses personnes pensent que le groupe est affilié à la Russie. Parmi eux, James A. Lewis, du CSIS (Center for Strategic and International Studies) décrit dans le New York Times “une manœuvre russe”. Sans oublier le lanceur d’alerte Edward Snowden qui a indiqué dans une série de tweets que « plusieurs preuves désignent une responsabilité russe ». En effet, la Russie ayant été soupçonnée du piratage du parti démocrate américain il y a quelques mois, cet épisode semble être une suite plausible.

L’anglais approximatif utilisé par The Shadow Brokers pourrait attester au premier abord de l’origine non anglophone du groupe énigmatique. Cependant, d’autres signes tendent à démontrer le contraire. Après diverses analyses linguistiques effectuées sur leur publication, il apparaîtrait que les fautes commises pourraient être intentionnelles, démontrant ainsi le souhait de brouiller les pistes quant à l’origine du groupe. On pourrait en venir à penser que la Russie représente dans cette affaire un parfait bouc émissaire.

Selon James Bamford, un spécialiste du renseignement américain, lorsque la NSA est attaquée, les Russes représentent les « suspects habituels ».

Il affirme que la Russie n’aurait jamais rendu public ce vol de données, et qu’il faut plutôt chercher le coupable au sein même de la NSA. “À défaut d’une cyberattaque sophistiquée lancée par la Russie ou une autre nation, il paraît plus probable qu’un employé ait volé tous ces outils” écrit-il, estimant qu’il y a sûrement un “nouveau Snowden” dans les rangs de l’agence de renseignement.

L’identité du groupe reste donc toujours mystérieuse : provocation russe, ou taupe au sein de la NSA ; les deux théories sont autant plausibles l’une que l’autre.

2 — The Equation Group : une cellule d’élite de la NSA

2.1 Qui se cache derrière The Equation Group ?

The Equation Group, à qui appartiendraient les données divulguées, est une entité identifiée par Kaspersky en 2013, spécialisée dans la réalisation de cyberattaques sophistiquées. Selon l’éditeur de solutions antivirales, les activités du groupe remonteraient à 2001, voire potentiellement même à 1996. Le groupe Equation utilise plusieurs plates-formes de logiciels malveillants, dont certains dépassent en complexité et en sophistication la fameuse menace Regin, vraisemblablement créée par le GCHQ (Government Communications Headquarters), le cousin britannique de la NSA.

Les chercheurs de Kaspersky ont eux-mêmes baptisé le groupe en raison de leur fort intérêt pour le chiffrement (implémentations spécifiques et uniques des algorithmes RC5 et RC6). Officiellement, un tel groupe n’existe pas selon le gouvernement américain. Cependant, de nombreuses pistes lieraient l’entité avec une quasi-certitude à la NSA.

En effet, selon Kaspersky, le groupe Equation aurait travaillé de manière étroite avec les équipes à l’origine de Flame et de Stuxnet. Or, depuis l’enquête de David Sanger, journaliste au New York Times, nous savons que ce dernier est, à n’en pas douter, l’œuvre de la NSA.

2.2 Quelles sont les cibles du groupe ?

D’après Kaspersky, The Equation Group compte plus de 500 victimes réparties dans le monde entier (Iran, Russie, Syrie, Afghanistan, Kazakhstan, Belgique, France, États-Unis, etc.). Un grand nombre d’infections a été observé sur des serveurs, souvent les contrôleurs de domaine, les datacenters et autres hébergeurs de sites Web.

Le groupe vise généralement des cibles gouvernementales et militaires, des opérateurs de télécommunication, des médias, ou encore les secteurs de l’aérospatial, de l’énergie et de la recherche nucléaire.

De surcroît, les outils d’attaque utilisés possèdent des mécanismes de camouflage et de remises à l’état initial très sophistiqués, on peut donc supposer qu’il y a potentiellement eu des dizaines de milliers d’infections non répertoriées à l’heure actuelle.

2.3 Quel est le lien entre la récente fuite de données et The Equation Group ?

Dans ses précédentes recherches à propos de The Equation Group, Kaspersky a pris le temps d’analyser certains outils de l’attaquant, notamment les programmes portant les noms de code EQUATIONDRUG, DOUBLEFANTASY, GRAYFISH ou encore FANNY.

Au cours de ces analyses, les chercheurs ont constaté une tendance générale à l’utilisation des algorithmes de chiffrement RC5 et RC6. Les malwares créés par le groupe reposent cependant sur une implémentation très particulière de ces deux algorithmes. Cette implémentation, extrêmement rare, n’a jamais été vue auparavant. L’utilisation de ces variantes de RC5 et RC6 représente donc, pour ainsi dire, une signature du groupe.

2.4 Qu’en est-il des fichiers publiés par The Shadow Brokers ?

Après analyse, plus de 300 fichiers reposent sur l’utilisation de cette variation spécifique de RC6, et ce, sous 24 formes différentes au sein de l’archive.

Ce sont donc plusieurs centaines de fichiers qui contiennent cette fameuse « signature » de The Equation Group. Les chances de truquage ou de manipulation sont donc hautement improbables.

Alors que The Shadow Brokers ne fournit aucune preuve technique de ces revendications, cette signature technique semble confirmer l’hypothèse selon laquelle The Equation Group, et par conséquent la NSA, serait propriétaire de ces kits d’exploitation de haut niveau.

Enfin, des sources anonymes ayant travaillé au sein de l’unité en charge des opérations offensives de la NSA, appelée TAO (Tailored Access Operations), ont également confirmé au Washington Post que les fichiers mis en ligne semblaient bien provenir de la NSA.

3 — Revue des données et théories en vogue

Ce sont deux archives qui ont étés publiées.

• Une en libre accès, donnée en guise d’exemple, de 185Mo, et fournie avec son mot de passe (« theequationgroup ») afin de pouvoir déchiffrer les données contenues.
• Une seconde, mise aux enchères, de 235Mo et dont le contenu est tenu secret.

3.1 L’archive en libre accès

L’archive donnée en guise d’exemple contient des fichiers datant, selon les métadonnées disponibles, de 2013 (même si l’information est facilement manipulable) et a été chiffrée le 25 juillet 2016.

Une fois extraite, elle se présente sous la forme d’un dossier appelé « Firewall » contenant des exploits de type 0day affectant notamment les pare-feu Cisco (PIX, ASA), Fortigate, Juniper et TOPSEC. Ces codes d’exploitation, utilisés seuls ou combinés entre eux, permettent pour la plupart une prise de contrôle à distance sur les systèmes affectés.

Vous trouverez une analyse plus approfondie de ces outils d’exploitation, leur mode de fonctionnement et impacts, au sein de notre prochain numéro de l’ActuSécu

3.2 D’où proviennent ces fichiers ?

Plusieurs théories entourent la fuite sur l’origine des données.

• Piratage de la NSA 

La théorie est possible, mais s’avère peu plausible au vu du contenu de l’archive. En effet, l’archive contient le code source d’outils fonctionnels, dans une version stable. Il n’y a donc que des outils prêts à l’emploi. Si l’agence avait été victime d’une intrusion, on peut supposer que l’archive ne contiendrait pas uniquement ce type de données, mais également des documents, des cibles, des données, etc.

• Un second Edward Snowden

Malgré les avis de certains commentateurs, l’hypothèse d’une autre taupe au sein de la NSA semble hasardeuse. Car si les dates des fichiers sont authentiques, alors la fuite remonterait à 2013, soit quelques mois seulement après l’affaire Edward Snowden. On peut aisément supposer qu’à cette époque, la NSA était en plein milieu d’une « chasse aux sorcières » post Snowden. Ce qui ferait définitivement de cette période la plus risquée, et par conséquent la moins plausible pour une seconde fuite.

• Edward Snowden lui-même source de la publication

Cette hypothèse paraît elle aussi très peu probable. Quand bien même de nombreux dossiers sont encore secrets, Edward Snowden n’avait (à nos yeux) vraisemblablement aucune raison d’attendre jusqu’à maintenant pour dévoiler ces fichiers. D’autant plus que l’hacktiviste joue la carte de la transparence depuis les débuts du scandale. Une fuite aussi farfelue ne correspond pas au personnage.

• Un serveur de diffusion appartenant à Equation Group piraté

L’hypothèse paraît crédible. Même si The Equation Group s’avère être une entité extrêmement compétente, une erreur n’est pas impossible. Dans ses opérations, il est possible qu’un serveur de diffusion ait été oublié, ou mal nettoyé, et que les fichiers ainsi publiés aient été retrouvés suite au piratage, peut-être hasardeux, de ce serveur.

Dans tous les cas, étant donné le contexte actuel et la possibilité d’un lien avec la Russie, nous n’aurons vraisemblablement aucune autre information sur l’origine réelle de la fuite.

4 — Conclusion

Suite à cette fuite, de nombreux kits d’exploitation prêts à l’emploi, intégrant les vulnérabilités ciblant les appareils Cisco, Fortinet, Juniper et TOPSEC vont probablement apparaître en masse dans les prochains mois.

Cependant, depuis la publication des outils, les constructeurs des systèmes ciblés ont corrigé un grand nombre des vulnérabilités publiées.

Par conséquent, le CERT-XMCO recommande une extrême vigilance quant aux mises à jour disponibles concernant vos pare-feu et recommande l’application des correctifs disponibles pour vos systèmes.

Par ailleurs, bien qu’il soit par définition impossible de se protéger contre les failles de type 0day, l’utilisation en parallèle de systèmes de protection différents, conçus par différents fabricants est un facteur de mitigation sérieux, rendant alors plus complexe l’intrusion et permettant de dérouter les attaquants les moins déterminés.

La seconde partie de l’article, qui traitera l’analyse technique des outils publiés (mode de fonctionnement, impact, etc.) sera au sein de notre prochain numéro de l’ActuSécu.