Blog d'un Éternel Geek

La fuite du malware de la Team Hacking continue de dévoiler ses secrets

http://1.bp.blogspot.com/-NvFy5fUgZOo/VZvMOCcgMRI/AAAAAAAAH1E/zhFkJ_-U4tc/s1600/hacked_team.jpg

Le malware pour Android le plus élaboré jamais conçu est désormais dans la nature

Les révélations qui suivent le piratage de Hacking Team n’en finissent pas. C’est un des malwares les plus performants jamais conçus qui est désormais à la portée de n'importe qui et peut contaminer une grande majorité des Smartphones Android sur le marché.

 

Mais quels est ce système qui fait peur ? Qui a t-il à l'intérieur ? Que fait il ?  Et surtout comment se prévenir ? Toutes ces question nous allons les voir ensemble sur Galileo le Remote Control System.

 

Le vol de données de la société d’espionnage Hacking Team a permis de dévoiler au grand jour le fameux scripts qui se vendaient à pris d'or. Il n'y a qu'à voir ce lien vers les tarifs proposés aux clients de la Team.

https://drive.google.com/file/d/0B2q69Ncu9Fp_TF9XeFF3VFUwa2s/view

 

 

Mais quelle est la portée de la mise au public du code de la Team Hacking ?

 

Il est vrai que ce code fait peur et surtout lorsque l'on entendait HT se vantais des exploits que Galileo étais capable d'exécuter.  Galileo du même nom que le GPS Européen quel ironie.

Système de contrôle à distance

Voila la portée du logiciel dans toute sa conception : permettre de manipuler, récolter et espionner pour le compte de gouvernement pour le peu scrupuleux.

 

 

Les Données ont été récupéré puis mis en watching public free

 

En fait, c'est une bonne et mauvaise chose en soi.

D'une part, le collectif a permis d'exploiter les résultats de ce script afin de patcher les exploits qu'utiliser ce programme et d'autres parts des hackers l'utilisent afin d'exploiter son potentiel avant qu'il soit patcher.

 

Du coup, c'est un peu comme une course contre la montre entre pirate et technicien de sécurité.

 

Le but est qu'une fois corrigées, nos machines soit plus sûres. Pour autant, cette intrusion a également exposé d’autres éléments qui pourraient avoir de fâcheuses conséquences.

 

http://vivageek.livehost.fr/data/images/secu/hackingteam-stealth.png

 

Une arme lâchée dans la nature.

 

Ainsi, parmi les données dérobées se trouve le code source d’un malware extrêmement élaboré et efficace, qui permet d’infecter les appareils sous Android, même quand ils fonctionnent avec les dernières versions de l’OS de Google  généralement moins exposées à ce genre de problème.

 

Dans un article, un chercheur en sécurité de Trend Micro indique d’ailleurs que ce malware, nommé RCS Android, pour Remote Control System Android, « peut être considéré comme un des malwares les plus complexes et les plus professionnels jamais découverts ».

 

L’exposition au vu de tous du RCS Android est tout à la fois une bonne nouvelle et une source d’inquiétude. Côté positif, il permet aux experts d’étudier le code, et donc de trouver des parades à cet outil des plus dangereux... Côté négatif, il donne à tous les apprentis pirates informatiques une arme redoutable, bien plus puissante que ce qu’ils auraient pu développer eux-mêmes.

 

Mais qu'est-il capable de faire ?

 

RCS Android permet en effet de prendre des captures d’écran et des photos à distance, de surveiller le presse-papier, de récupérer les mots de passe des réseaux Wifi, des comptes en ligne (Facebook, Skype, Twitter, Google, WhatsApp, Mail, et Linkedin), d’enregistrer depuis le micro du Smartphone à tout moment, y compris lors des appels, de mettre la main sur les SMS, MMS et mails Gmail, recueillir les contacts et décoder les messages à partir de comptes de messagerie instantanée, y compris Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram et BlackBerry Messenger ainsi que sur les contacts ou encore de noter la position géographique de l’utilisateur.

 

 

Dans les communications numériques modernes, le chiffrage est généralement appliqué pour protéger des utilisateurs contre l'écoute clandestine. Malheureusement, le chiffrage empêche également la police et les agences d'intelligence de pouvoir surveiller et empêcher des crimes et des menaces pour la sécurité de pays. Le système à télécommande (RCS) est une solution conçue pour éluder le chiffrage au moyen d'un agent directement installé sur le dispositif pour surveiller. La collection de preuves sur les dispositifs surveillés est discrétion et la transmission des données rassemblées du dispositif au serveur de RCS est chiffrée et introuvable.

 

 

Quel type de faille ?

Ce logiciel espion qui est multifonctions : keylogger, spyware,… se propager en utilisant des vulnérabilités non corrigées dans les navigateurs par défaut à partir d'Android 4.0 et Android 4.3 L'attaquant à l'aide de cette faille installait un malware pour définir des propriétés root puis finalement un backdoor avec le RCS Android APK, qui permet d'élargir considérablement la liste des capacités que l'attaquant malveillant peut utiliser.

 

 

Oui Mais Comment ?

Le malware utilise au moins deux méthodes pour infecter un appareil. La première passait par un SMS pour attirer l’utilisateur vers un site Web piégé. Ce dernier exploitait alors une faille connue dans le navigateur d’Android des versions 4.0 à 4.3. La deuxième méthode repérée passe par une fausse application d’information, appelée BeNews, qui était disponible sur le Play Store officiel d’Android.

 

 

L'autre façon d'installer le logiciel malveillant est à travers une application backdoor plus furtive comme ANDROIDOS_HTBENEWS.A, qui peut cacher de la lecture par balayage régulier de Google. Le rôle de la porte dérobée (backdoor) est de profiter d'une vulnérabilité d'élévation de privilèges locale à la racine (root) de l'appareil et installer une porte dérobée type Shell, qui est ensuite utilisé pour installer l'agent RCSAndroid.

 

 

C'est quoi en clair RCSAndroid ?

L'agent RCSAndroid contient deux modules principaux, l'un axé sur les activités de login de l'utilisateur à des fins de surveillance telles que l'enregistrement des appels vocaux en temps réel, et celui qui peut effectuer certaines actions telles que la communication avec les commandes et le contrôle serveur, le téléchargement et l'effacement des preuves , l'exécution de commandes Shell, la désactivation du réseau et même de détruire le dispositif en réinitialisant le mot de passe de verrouillage.

 

Autrement dit, la main mise sur ce système permet de tout faire comme si le pirate était à votre place.

 

Et la Hacking Team dans tout ça ?

 

 

Quand il était entre les mains des ingénieurs de Hacking Team et de ses clients, le RCS Android a été utilisé activement depuis 2012. Il a été découvert par des chercheurs en sécurité en 2014, mais c’est bien la première fois que le code est totalement exposé... et accessible à tous.

 

 

Visiblement lorsque les données ont été récupérées, les développeurs de la société d’espionnage italienne travaillaient à le rendre fonctionnel sous la dernière version d’Android (5.x). C’est en tout cas ce que laisse entendre quelques mails internes à Hacking Team qui ont été eux aussi dérobés. En revanche, il n’existe aucune preuve que ce travail de mise à jour de RCS Android ait été terminé.

 

 

 

Hacking team est répertorié comme ennemi d'internet de par la vente de leur produit à des pays peu recommandables par leurs atteintes aux libertés des droits de l'homme.

 

http://vivageek.livehost.fr/data/images/secu/sun_noon_world1.jpg

 

Hacking Team sont très médiatisé comme le montre ce rapport en 2014 https://firstlook.org/theintercept/2014/10/30/hacking-team/

 

 

Un cache 415GB ​​gigantesque de goodies incluant le code source, les listes de clients, documents, e-mails confidentiels, listes de mots de passe, des clés privées et beaucoup plus a mis la communauté infosec en émois.

Miroir ici - https://ht.transparencytoolkit.org/

 

 

Depuis, les seules nouvelles étant en rapport avec une demande pour l'utilisation de leur système de surveillance pour un Drone qui n'a pas aboutis car la Team n'a pas donner suite pour l'instant surement trop occuper à gérer la fuite.

 

Un système jusqu'alors réservé aux gouvernements à la porté du commun des mortels.

 

Plus de détails sur les exploits utilisés sur citizenLab.

 

Conclusion

Appel à la prudence

 

Nous sommes des cibles potentiels vu que l'élargissement du code a entrainer une effervescence mondiale auprès des consommateurs pirates de bas niveau

 http://vivageek.livehost.fr/data/images/secu/target.jpg

Les chercheurs en sécurité du monde entier appellent les utilisateurs d’Android à être extrêmement prudents. L’expert de Trend Micro indique ainsi que les utilisateurs de mobile doivent prêter attention à des signes de monitoring de leur appareil et cite quelques comportements à surveiller : redémarrage impromptu, applications inhabituelles et non désirées installées sur le Smartphone, application de messagerie instantanée qui se fige tout à coup, etc.

 

 

Si l’appareil venait à être corrompu, l'analyste de Trend Micro rappelle que la porte dérobée utilisée par RCS Android ne peut pas être supprimée sans privilège root. En conséquence de quoi « les utilisateurs pourraient avoir besoin de demander l’aide du fabricant de l’appareil pour mettre à jour le micro logiciel » de leur Smartphone, conclut-il.

 

Nous estimons qu'il est raisonnable de conclure que certaines utilisations de cette suite de piratage sont juridiquement sanctionnées, correctement supervisé les enquêtes criminelles menées en vertu d'une procédure régulière et la règle de droit. Il est tout aussi raisonnable, cependant, de conclure que certaines utilisations sont abusives, partisane ou irresponsable. Nos résultats de la prolifération mondiale des Hacking équipe dément leurs revendications de la diligence raisonnable de haute qualité. Bien qu'ils prétendent se fonder sur un panneau à l'extérieur pour des indications sur les ventes potentielles, peu d'informations sont disponibles à propos de ses membres, les processus ou les motifs pour lesquels une vente pourrait être rejetée.

 

En ce qui concerne son caractère secret malgré la commercialisation par Hacking Team qui promet le secret, ainsi que des efforts clairs à l'obscurcissement, nous avons également montré une fois de plus que les fabricants de cheval de Troie commerciales peuvent être coupables d'exagération quand ils font des réclamations comme "stealth" et "introuvable." Nous pensons qu'il est peu probable que les agents d'achat des pays clients ont été avertis que leur utilisation de ces outils pourrait être exposée par des chercheurs de la nation non-étatiques.

 

En conclusion, la combinaison de la prolifération mondiale, ainsi que des promesses douteuses sur les fonctionnalités "furtives" pointes aux dangers aux nombreux intervenants d'un marché non réglementé défini par le manque de transparence et de responsabilité.

 

Pensez à mettre à jour et à surveiller vos appareils plus sérieusement.

 

Merci à bientôt.

 

Source : darknet.org.uk, citizenlab.org, arstechnica.com, LeFigaro, Krebsonsecurity.com

 






 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la deuxième lettre du mot gqyf ? :