Depuis 1 an, le groupe « The Shadow Brokers » fait parler de lui au travers la publication de méthodes d’exploitation de vulnérabilités de type 0-day appartenant à d’autres groupes de hackeurs. Cet article a pour but de relier les différentes informations que nous avons pu déjà commenter dans d’autres articles du blog.
Qui est derrière « The Shadow Brokers » ?
The Shadow Brokers est un groupe de hackeurs apparu en 2016 qui a publié de nombreux exploits de vulnérabilités notamment certaines 0-day.
Les outils publiés sont utilisés par le groupe de hackeur « Equation Group » et par la NSA. Ils ciblent particulièrement les équipements réseau (pare-feu Cisco, …) et les systèmes d’exploitation Windows et Solaris.
L’identité de(s) la personne(s) derrière le groupe n’est pas connue, les deux théories les plus répondues sont :
- Un ancien prestataire de la NSA aurait volé les documents et les publie ;
- Edward Snowden [7] pense que les données proviennent d’une puissance (Russe) afin de pouvoir avertir la NSA qu’ils sont en mesure de prouver leur responsabilité dans certaines attaques informatiques.
Retours sur les moments clefs
Première fuite de données – Equation Group
Le 13 Août 2016, le compte Twitter « @theshadowbrokerss » publie un tweet indiquant deux archives :
- Une première archive qui contient des exploits ciblant principalement les équipements réseaux de type « Pare-feu » ;
- Une deuxième archive chiffrée, mise aux enchères pour 1 million de Bitcoin [6], qui contient des exploits utilisés par « Equation Group » [2].
Deuxième fuite de données – TrickOrTreat
Le 31 Octobre 2016, un message sur le forum Reddit [3] indique la liste de serveurs compromis par « Equation Group » et fait référence à 7 outils : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOCSURGEON.
Troisième fuite de données
Afin de remonter le niveau de l’enchère, le groupe publie une liste d’une soixantaine de nom de dossiers contenu dans l’archive chiffrée.
Quatrième fuite de données – Don’t forget your base
Le 8 Avril 2017, le groupe publie le mot de passe de l’archive publiée en Aout 2016 sur son compte Medium [4]. Ce message agit comme protestation envers l’administration Trump, en réponse au dernier bombardement en date en Syrie :
Les exploits ciblent principalement le système d’exploitation Solaris, l’opérateur pakistanais Mobilink et les journaux d’évènements wtmp du système Unix.
Cinquième fuite de données – Lost in translation
Le 14 Avril 2017, le groupe a posté un lien vers le site Steemit [1] au travers de son compte Twitter :
Cette archive contient trois dossiers : « oddjob », « swift » et « « windows ». Parmi les données sont inclus différents outils et méthodes d’exploitation de vulnérabilités donc notamment un exploit pour la vulnérabilité MS17-010 [5].
Les outils publiés
Au travers de leurs publications, The Shadow Brokers ont apporté un grand nombre d’exploit. La communauté ([8] et [9]) a pu relier les exploits et vulnérabilités suivants :
Ces exploits ciblent de nombreux systèmes, notamment le système d’exploitation Windows sur plusieurs versions. Dès la publication de la 5ème fuite de données, Microsoft a publié un article [10] détaillant les vulnérabilités et les corrections associées.
Conclusion
À ce jour, le groupe The Shadow Brokers a publié gratuitement des outils qu’il estimait à 1 million de Bitcoin. La motivation derrière leurs actions n’est pas encore bien identifiée mais il est clair que ce collectif souhaite exposer au public les attaques réalisés par les puissances telles que la NSA.
Vincent DEPERIERS