Vault 7 : WikiLeaks dévoile Pandemic pour Windows #CIA

0
133

WikiLeaks n’en a pas fini (les leaks semblent interminables) avec les petits secrets des cyber-armes de la NSA et de la CIA. Cette fois, c’est le malware Pandemic qui est révélé : il permet l’infection d’un réseau interne Windows.

La série de leaks “Vault 7” a de nouveau frappé. Après avoir révélé les techniques de piratage de l’agence américaine concernant les TV connectés Samsung, les ordinateurs Windows, l’effacement des traces et de nombreux malwares et vulnérabilités zero-day, voici venu le tour de Pandemic.

Pandemic est un micro implant persistant qui est fait pour être injecté discrètement sur un serveur Windows via piratage. Ensuite, il évolue en autonomie au sein du réseau interne et s’attaquera à l’ensemble des machines liées via des fausses applications notamment. Concernant le piratage du serveur en lui-même, deux solutions : l’exploitation d’une vulnérabilité 0-Day à distance ou bien un accès physique de quelques secondes.

La CIA est désormais connue pour avoir détourné des programmes légitime grand public tels que VLC et Notepad++ en vecteur d’infection. Notons que ces derniers ont corrigés leurs failles respectives qui permettaient cet abus.

Pandemic permet la gestion de 20 applications vecteurs, le tout, limité à 800 Mo ! Les machines dont le lecteur est partagé sont particulièrement visées par Pandemic. L’infection se fait de la manière d’une réaction en chaîne : chaque implant a la capacité d’étendre l’emprise en infectant une machine proche et ainsi de suite. L’implant dispose de droits élevés sur le système cible car il est déclaré en tant que « File System Minifilter Driver » : cela nécessite que le pilote dispose d’un certificat valide (généré spécifiquement et installé via une faille de sécurité ou volé).

Le chercheur en sécurité Jake Williams s’est penché sur Pandemic et émet des hypothèses.

Encore une fois, le rôle de Wikileaks semble être l’information dans le but d’un désarmement forcé de la NSA / CIA : grâce aux leaks et aux détails fonctionnels révélés, les éditeurs de logiciels concernés et les sociétés de sécurité informatique sont en mesure de combler les lacunes exploitées et de mettre fin à la menace.

Le pire reste peut être à venir avec les futures révélations de vulnérabilités 0-Day par le groupe Shadow Brokers…

 

Source : NextInpact