>
Vous êtes ici
» Retour à la liste
GrayFish : Un nouveau malware
Le 18 / 02 / 2015

Kaspersky a publié hier soir un long document exposant comment un groupe, nommé Equation, est parvenu à implanter des firmwares modifiés dans de nombreux disques durs afin d’y inclure des malwares. L’éditeur russe de solutions de sécurité lie l’opération à Stuxnet, un virus utilisé par les États-Unis pour attaquer le programme nucléaire iranien, et donc à la NSA. 

Equation, le groupe le plus en avancé en piratage selon Kaspersky

Kaspersky plonge une nouvelle fois dans le monde des malwares soutenus par les États eux-mêmes. L’affaire Stuxnet, largement traitée par l’éditeur, avait montré comment les États-Unis avaient travaillé pour faire échouer le programme nucléaire iranien, en attaquant directement du matériel spécifique, en l’occurrence des centrifugeuses dans les sites d’enrichissement de l’uranium. Sur l’ensemble des 5 000 dont l’Iran disposait alors, un millier d’entre elles étaient tombées en panne.

Et voilà qu’un parallèle avec Stuxnet est dressé par Kaspersky au sujet d’un groupe nommé Equation. Le nom a été donné, selon l’éditeur, par la capacité de ses membres à utiliser des méthodes « sophistiquées » et « leur amour pour les algorithmes de chiffrement ». Leur signature se retrouverait dans des attaques réseaux remontant déjà à 2001, voire à 1996. Le groupe se sert, toujours selon Kaspersky, d’une implémentation spécifique de l’algorithme RC5, mais certaines parties des malwares se servent également de RC6, RC4, voire AES.

Equation serait à ce jour le groupe le plus avancé et le plus sophistiqué dans la conception des cybermenaces, du moins parmi ceux qui sont remontés à la surface. L’expérience et les succès accumulés auraient permis l’avènement de plusieurs programmes de surveillances, baptisés entre autres EquationLaser, EquationDrug et GrayFish, formant une vaste toile d’espionnage alimentée par des moyens très diversifiés.

Des similitudes troublantes avec les méthodes et outils de la NSA

Plusieurs signes pointent assez nettement dans la direction de la NSA, sans que Kaspersky dispose de la « preuve » que l’agence américaine de renseignement a bien formé ce groupe. Les éléments sont indirects : ressemblance des méthodes utilisées, similitudes avec Stuxnet et Flame, nomenclature des composants et autres éléments. Ainsi, des noms tels que SKYHOOKCHOW, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, et DESERTWINTER font référence à des composants dont les capacités ressemblent étonnament à celles des outils de la NSA. Autre lien : certaines victimes identifiées se trouvent en Iran et avaient déjà été visées par Stuxnet.

Dans son long rapport, Kaspersky indique avoir actuellement trouvé plus de 500 victimes des programmes du groupe Equation, reparties dans une trentaine de pays. Selon les informations cumulées, le nombre de victimes pourrait en fait grandir d’environ 2 000 par mois et l’éditeur n’y va pas par quatre chemins : en l’état actuel, Equation est le groupe possédant les capacités les plus avancées de piratage qu’il ait pu détecter, plus sophistiquées même que ce qui avait été découvert en novembre avec le malware Regin.

GrayFish, ou la reprogrammation des firmwares des disques durs

Mais l’élément le plus troublant du lot est GrayFish, un malware capable de résider dans des versions modifiées de firmwares de disques durs. Western Digital, Seagate, Samsung et les autres constructeurs de périphériques de stockage sont concernés, posant la question de leur implication directe dans un tel programme. Dans le point 10 de son rapport, Kaspersky indique que les chercheurs ont pu mettre la main sur deux modules de reprogrammation des firmwares issus d'EquationDrug et de GrayFish, dont une version compilée en 2013 (estampillée 4.2.0).

Cette capacité à persister dans le firmware permet au malware de résister aux formatages et autres réinstallations des systèmes d’exploitation. Il s’agit de la technique la plus sophistiquée en possession d’Equation et si elle a résisté jusqu’à présent à la traque des chercheurs, c’est tout simplement car elle semble peu utilisée. Tout porte à croire en effet que le groupe ne garde cette possibilité en réserve que pour quelques machines appartenant à des cibles prioritaires. Si la diffusion était plus vaste, elle serait d’autant plus détectable.

Une véritable « percée technologique »

Pour Kaspersky, ces modules de reprogrammation des firmwares sont une réelle « percée technologique » et réclament de nombreuses connaissances. C’est d’ailleurs ce qui souligne une éventuelle participation des constructeurs de disques durs, car les pirates du groupe Equation seraient dans l’obligation d’effectuer une longue et fastidieuse rétroingénierie. Le firmware des disques dur est d’autant plus intéressant qu’il se trouve en deuxième position des « lieux » idéaux où déposer un malware. Il s’agit en effet d’une part d’un composant matériel, et d’autre part d’un support fixe appelé très tôt dans le démarrage de la machine, après le BIOS (qui constitue le composant de prédilection).

En plus de loger dans le firmware, le malware est capable ensuite de créer une zone invisible sur le disque dur. En fonction des besoins, les données de l’utilisateur pourront y être stockées, en attendant d’être exfiltrées vers des serveurs distants. Comme l’ajoute par ailleurs le chercheur Costin Raiu, le malware peut également être utilisé pour percer le chiffrement des données : « Étant donné que l’implant GrayFish est actif dès le début de l’amorçage du système, il permet de capturer la clé de chiffrement et de l’enregistrer dans la zone cachée ».

La NSA, sous couvert des audits de sécurité ?

La situation est d’autant plus trouble que Costin Raiu, a précisé à Reuters qu’il n’y avait « aucune chance que quelqu’un ait pu réécrire le firmware des disques durs sur la seule base des informations publiques ». Parallèlement, Reuters a cherché à obtenir des réactions de tous les constructeurs de disques durs. Seul Western Digital (qui a racheté Hitachi il y a quelques années) a répondu qu’il n’avait « pas fourni son code source aux agences gouvernementales ». Les autres n’ont pas abordé ce point, mais Seagate a tout de même indiqué que des mesures spécifiques étaient incluses dans ses disques durs pour empêcher justement toute rétroingénierie. Mais si ces mesures sont efficaces, comment expliquer alors la capacité d’Equation à reprogrammer le firmware ?

Selon Vincent Liu, ancien analyste de la NSA, l’agence peut obtenir certaines informations via des moyens détournés. Par exemple, si une entreprise souhaite vendre des produits au Pentagone, ils doivent faire l’objet d’un audit de sécurité très poussé. C’est la NSA qui est le plus souvent diligentée, et on connait déjà la capacité de l’agence à plonger dans les protocoles de sécurité pour en trouver les failles, qu’elle garde alors pour elles dans certains cas, comme l’avait révéléEdward Snowden. « C’est souvent la NSA qui réalise l’évaluation, et ce n’est pas prendre un grand risque que dire qu’ils gardent le code source » indique ainsi Vincent Liu.

Reste que l’implication directe de la NSA reste sujette à caution, en dépit de tout ce qui a pu déjà être mis en lumière depuis bientôt deux ans. Les indices sont pourtant très forts, au point qu’un autre ancien employé de la NSA, qui a tenu à rester cette fois dans l’anonymat, a indiqué à Reuters que non seulement l’analyse de Kaspersky était correcte, mais que l’agence tenait autant à ces programmes qu’à Stuxnet. Vanee Vines, porte-parole de la NSA, n’a pas souhaité répondre à ce sujet.

 

Source: NextInpact