Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

The Equation Group CONIX

Contrairement à l’arrivée de Pokemon Go, la publication d’une archive d’outils divers associés à l’acteur de cyber-espionnage The Equation Group risque de rester une des grosses actualités de l’été 2016.

Cet acteur avait déjà agité le milieu de la sécurité informatique début 2015 après la publication par Kaspersky Lab du rapport associé . Ce rapport explicitait avec beaucoup de détails le niveau de sophistication atteint par le groupe lors de ses attaques.
Une nouvelle archive, cette fois uniquement composée d’outil technique a été publiée. La note associée à la publication mentionne explicitement The Equation Group.
Cette nouvelle publication permet aux analystes malware et menace de se confronter en détail avec les outils utilisés actuellement par ce groupe réputé à la pointe.
Un des points intéressants de la publication de cette archive est la continuité temporelle des informations publiées, ces outils semblent en effet avoir été acquis sur une période de plusieurs années (2010 à 2013) et permettent donc d’analyser leur évolution.


On peut décomposer l’archive en trois catégories d’outils :

  • Exploits : permettant aux opérateurs d’obtenir un accès sur divers équipements, idéalement un accès administrateur.
  • Implants : permettant aux opérateurs de modifier le comportement de l’appareil compromis, par exemple obtenir un accès persistant. « Implant » est le terme utilisé dans la description même de ces outils. Il est intéressant d’observer l’évolution de la terminologie, ce type de logiciel étant plutôt habituellement et historiquement appelé « rootkit ». Cette terminologie correspond également à celle utilisée dans le catalogue TAO, sur lequel nous reviendrons.
  • Outils et scripts divers : divers outils permettant aux opérateurs de faciliter leurs taches d’exploitation et de persistance.

Outils

Nous allons revenir de manière succincte sur le rôle des différents outils présent dans cette archive.

Exploits

  • EGREGIOUSBLUNDER : Exploit pour les firewalls Fortigate, corrigé en 2011, traité par CERT-CONIX AVI 2016-012 ;
  • ELIGIBLEBACHELOR : Exploit pour les firewalls TOPSEC ;
  • ELIGIBLEBOMBSHELL : Exploit pour les firewalls TOPSEC, permet une exécution de code à distance, il s’appuie sur des payloads : WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, GOTHAMKNIGHT ;
  • ELIGIBLECANDIDATE : Exploit pour les firewalls TOPSEC, permet une exécution de code à distance ;
  • ELIGIBLECONTESTANT : Exploit pour les firewalls TOPSEC, permet une exécution de code à distance ;
  • EPICBANANA : Exploit pour les Cisco ASA et PIX, permet une élévation de privilège, corrigé en 2011 par Cisco ;
  • ESCALATEPLOWMAN : Exploit pour les firewalls WatchGuard, permet une élévation de privilèges ;
  • EXTRABACON : Exploit pour les Cisco ASA, permet une exécution de code à distance via le protocole SNMP (0day au moment de la publication de l’archive), traité par CERT-CONIX AVI 2016-011 ;
  • BENIGNCERTAIN : Exploit pour Cisco PIX 6.x, permet à  l’attaquant d’extraire la PSK VPN de l’appliance, 0day sur un équipement non-supporté par son éditeur, traité par CERT-CONIX AVI 2016-013.

Implants

  • BLATSTING : implant logiciel, utilisé après exploitation via EGREGIOUSBLUNDER, ELIGIBLEBACHELOR, ELIGIBLEBOMBSHELL (ie pour TOPSEC et Fortigate à minima) ;
  • BANANAGLEE : implant non persistant pour Cisco ASA/PIX et Juniper Netscreen ;
    • BLATSTING et BANANAGLEE sont tous les deux modulaires et peuvent s’appuyer sur les modules BARPUNCH, BBALL, BBALLOT, BBANJO, BCANDY, BFLEA, BMASSACRE, BNSLOG, BPATROL, BPICKER, BPIE, BUSURPER, CLUCKLINE, JIFFYFRAUL ;
  • BEECHPONY : prédécesseur de BANANAGLEE ;
  • JETPLOW : « installateur » de BANANAGLEE  sur Cisco PIX et ASA ;
  • BARGLEE : implant pour Juniper Netscreen ;
  • BUZZDIRECTION : Implant pour firewall Fortigate ;
  • FEEDTROUGH : « installateur » de BANANAGLEE ou ZESTYLEAK sur Juniper Netscreen ;
  • ZESTYLEAK : implant non-persistant pour Juniper Netscreen.

NOPEN

NOPEN est un remote shell instancié suite à l’exploitation par les exploits ELIGIBLEBOMBSHELL , ELIGIBLECANDIDATE, EXTRABACON, ELIGIBLECONTESTANT et EGREGIOUSBLUNDER. Il permet à minima d’installer l’implant BLATSTING. Le trafic associé à cet outil est chiffré via RC6.
Cet outil est le pivot entre l’exploitation et la phase suivante d’implantation sur l’équipement ciblé.

Beaucoup d’autres outils existent dans cette archive, notamment de scan, d’injection de paquet, de construction d’exploit  etc.

TTP

Ce genre de publication permet également aux équipes de réponses à incident de se confronter à la réalité d’un acteur possédant de grandes ressources. Ainsi, au-delà du volet technique, il est intéressant de s’attarder sur les TTP (Technics, Tactics and Procedures) de l’acteur  afin d’obtenir des informations sur les manières de procéder et les habitudes, bonne pratiques des groupes pratiquant des activités de cyber-espionnage.
La documentation nous révèle par exemple deux choses :

  • Une séparation fonctionnelle existe entre les données pour les développeurs et les données pour les exploitants (options d’outils cachés, comment contacter les développeurs pour les éventuelles questions etc.), ce qui sous-entend une ségrégation claire entre les équipes de développements des outils et les opérateurs qui exploitent ces mêmes outils.
  • La documentation s’adresse parfois à des opérateurs n’ayant pas le bagage technique que l’on considérerait comme attendu pour ce genre d’opérations avancées (par exemple les filtres bpf), mais il existe également de la documentation destinée à des utilisateurs avancés (options cachées, conseil avancés etc.). Il y a clairement divers profils d’opérateurs. Elle ne reflète cependant pas, dans la forme publiée, une  segmentation par niveaux telle que N1, N2 etc.

Les outils sont dûment documentés  et testés face à une vaste palette de scénarios et versions de cible, la qualité opérationnelle est clairement privilégiée. De plus, on remarque que les outils devant être utilisé par l’opérateur sur sa machine sont majoritairement aux formats : binaire ELF ou scripts .py, .sh ou .pl, ce qui reflète un système d’exploitation probablement unix ; tandis que les outils à exécuter sur les machines cibles/trampolines sont plutôt au format binaire PE ou script .bat quand il s’agit de Windows, ou divers format pour les appliances même.
Les outils sont segmentés par usage mais ils restent néanmoins relativement génériques : ils ne font jamais la totalité des actions possibles sur une cible, et ils sont aussi génériques et multiplateformes que possible. Par exemple, sur les équipements Fortigate, l’exploit spécifique EGREGIOUSBLUNDER  donne un shell générique NOPEN, qui donne ensuite la possibilité d’exécuter un implant BLATSTING, puis éventuellement de l’installer définitivement sur la machine via des outils qui tendent également à être multiplateformes. On distingue ainsi que les actions sont segmentées, étant donné que toutes les attaques n’ont pas les mêmes vocations (implantations définitive sur le réseau cible, modification temporaire du comportement d’un firewall ou simple accès temporaire), et qu’une minimisation du nombre d’outils est visée, afin de réduire la complexité opérationnelle, et ainsi les erreurs d’exécutions.
La forme même de l’archive publiée tend à laisser croire qu’un élément d’infrastructure de l’attaquant a été compromis par un acteur tiers, probablement suite à une erreur humaine. Ainsi, cette archive, contenant exclusivement des outils d’exploitation de firewall, a la forme d’un kit opérationnel prêt à l’emploi.

Attribution

The Equation Group

Les technologies et outils présentés sont clairement de haut niveau.
Malgré le fait que réaliser une attribution sur ce genre de kit opérationnel est très complexe du fait de la nature des données, il est tentant d’attribuer celui-ci à une organisation soutenue par un état.
Ceux d’entre vous familiers avec les technologies et techniques d’attaques révélées par la presse grâce à Snowden reconnaitront la convention de nommage des outils.
De plus, certains des outils utilisés sont explicitement mentionnés dans le catalogue Tailored Access Operations (TAO).

Nous retrouvons dans ce document des mentions explicites aux outils suivants issus de l’archive :

  • FEEDTROUGH
  • JETPLOW
  • BANANAGLEE
  • ZESTYLEAK
  • TURBOPANDA

Le niveau de sophistication des outils et techniques employées correspond en effet à ce genre d’acteur ayant des ressources humaines et financières très importantes, ce qui rend cette hypothèse très crédible, néanmoins, il n’est pas impossible que cela ait été « forgé ».

Publieur

La publication de ces outils semble déguisée en publication par un groupe hacktiviste, en effet, une rhétorique anti-élite, se référant à la corruption est utilisée. De plus, la somme démesurée de 1 million de bitcoin est demandée pour accéder à une autre partie de l’archive. Cette somme en bitcoin étant simplement impossible à réunir, cela tend à faire croire que cette publication est en réalité déguisée sous la forme d’une publication hacktiviste.
La publication de ces outils a clairement été effectuée afin de « brûler » les outils en question, qu’ils ne soient plus utilisable par l’acteur en étant à l’origine. Cette stratégie peut avoir comme but deux choses :

  • Donner des éléments de preuves de l’implication de cet acteur dans certaines attaques, ce qui donne un moyen à certains états ayant été ciblés de demander des comptes ;
  • Augmenter le cout des attaques de cet acteur car il ne peut plus utiliser ces outils de manière furtive ;

Le niveau de technicité demandé pour pouvoir réaliser une telle intrusion sur une partie d’infrastructure d’un tel acteur, puis pour assumer une telle publication est néanmoins élevé, ce qui pointe plutôt vers un acteur tiers de type étatique ou un employé de l’acteur en question .

Conclusion

Ces outils sont, à l’échelle de la sécurité informatique, assez ancien (fin 2013), mais ils mettent néanmoins en lumière les capacités offensives de cet acteur, notamment du fait qu’ils contiennent des 0days. Les investissements réalisés sont assez conséquents aussi bien en temps qu’en argent. Il y a fort à parier que cette publication n’ampute pas beaucoup les capacités opérationnelles de cet acteur, dû à l’ancienneté des outils en question.
Il est également intéressant de remarquer que les équipements ciblés sont des équipements de sécurité, qui semblent ainsi être des cibles de choix du fait de leurs positionnements sur les réseaux. Cet acteur démontre ainsi une certaines avance technique par rapport aux solutions défensives qui bien souvent s’appuient sur et considèrent de confiance ces même équipements.

By | 2017-01-31T18:39:38+00:00 23/08/2016|Technique, Veille|