Vault 7 : WikiLeaks dévoile Pandemic, un implant de la CIA pour serveur Windows


  • Admin

    WikiLeaks revient une nouvelle fois avec des informations sur l’arsenal de la CIA. Cette fois, c’est un implant pour serveur, nommé Pandemic, qui est à l’honneur. Il permet ensuite d’infecter des machines dans un réseau et de déclencher de nombreuses actions.

    À chaque semaine sa fuite sur la CIA. WikiLeaks continue ainsi sa série de publications « Vault 7 », toutes dédiées aux méthodes et outils de la CIA pour ses opérations d’espionnage. On a pu voir comment l’agence américaine s’y prenait notamment pour infecter des téléviseurs connectés Samsung, des machines Windows via des applications infectées ou des malwares, ou encore comment elle masquait ses traces, voire réorienter les soupçons vers d’autres pays.

    Nouvelle semaine, nouvelle publication. On reste globalement dans la thématique de l’infection de machines Windows, mais le vecteur change. Pandemic passe en effet par le piratage d’un serveur et l’installation d’un implant, qui va servir ensuite de relais pour chercher des informations sur des machines du réseau.

    Un implant persistant pour serveurs sous Windows

    Comme indiqué, Pandemic commence donc par l’infection d’un serveur. La méthode n’est pas précisée, et outre l’éventuelle exploitation d’une faille de sécurité, il est possible qu’il faille un accès physique à la machine. De nombreux outils de la CIA fonctionnent de cette manière.

    Une fois l’implant en place, l’agent en charge de l’attaque dispose de nombreuses capacités. L’idée est de repérer des machines intéressantes et de les infecter en passant par de fausses applications. Ici, on peut faire le lien avec des révélations déjà menées il y a plusieurs semaines. On apprenait alors que la CIA détournait des programmes tels que VLC et Notepad++ pour en faire des vecteurs d’infection. Elles avaient d’ailleurs été mises à jour par leurs éditeurs pour que les méthodes utilisées ne soient plus possibles.

    Selon les informations de WikiLeaks, le remplacement des applications se fait à la volée pour ne pas éveiller les soupçons. Ainsi, sur le poste visé, l’exécutable du programme est bien le même. Pandemic permet à un maximum de 20 logiciels d’être remplacés de cette manière, l’ensemble ne devant pas peser plus de 800 Mo. On imagine que cette limite permet à l’échange de se faire sans trop de latence.

    Une contamination progressive

    Source et suite : nextinpact.com