Kaspersky Lab

 

Articles

23.04.2013

Spyware. HackingTeam

Serge Golovanov

Sommaire Logiciel espion pour les autorités judiciaires et policières 2 HackingTeam 2 Preuves 4 Un espion passionné 7 Propagation 10 Codes d'exploitation 12 Caractéristiques de l'exécution 13 OPM Security 17 Statistiques des infections 19 Conclusion 22 Sources 22

Cet article a été rédigé sur la base de données technique obtenue par les experts de Kaspersky Lab dans le cadre de l'analyse des programmes malveillants Korablin et Morcut. Plusieurs des conclusions des experts de Kaspersky Lab découlent de données obtenues sur des sources publiques dont la liste figure dans la conclusion du présent article. Toute question relative au contenu de l'article peut être posée via le site de Kaspersky Lab securelist.com ou via le service des relations avec la communauté d'utilisateurs de Kaspersky Lab sur le site Kaspersky.com.

Logiciel espion pour les autorités judiciaires et policières

D'après la définition fournie sur la page de Wikipedia, « un logiciel espion ou spyware est une application qui récolte des informations sur la configuration de l'ordinateur, l'activité de l'utilisateur ou toutes autres informations confidentielles à l'insu de l'utilisateur ».

Bien qu'il existe dans la majorité des pays des lois qui interdisent le développement et la diffusion de programmes malveillants, on trouve à l'heure actuelle au moins trois paquets d'applications créées, d'après leurs développeurs, pour récolter des informations sur les opérations de l'utilisateur sur l'ordinateur et les transférer à des représentants des autorités judiciaires et policières.

Le premier programme de ce genre bien connu est le cheval de Troie Bundestrojaner utilisé par les autorités judiciaires et policières allemandes afin de surveiller l'activité des suspects sur Internet. FinSpy est un autre espion connu, développé par Gamma International afin de fournir aux autorités judiciaires et policières de nombreux pays la possibilité de surveiller les ordinateurs et les appareils mobiles des personnes suspectes. Le troisième logiciel espion est Remote Control System (RCS) : il s'agit d'une application développée par la société italienne HackingTeam et vendu aux autorités de différents pays. C'est de celle-ci que l'article traitera.

HackingTeam

La société HackingTeam a fait parler d'elle dès 2008. A l'époque, l'organisation WikiLeaks avait publié des documents qui décrivaient les fonctionnalités des logiciels espions proposés par la société aux gouvernements.

Au début de l'année 2012, les spécialistes de Kaspersky Lab ont découvert des programmes malveillants sous Windows dont les fonctions ressemblaient étrangement à celles des programmes décrits par WikiLeaks et à celles de Remote Control System, dont la description figure sur www.hackingteam.it, le site officiel de la société. Toutefois, à l'époque, nous n'avions pas deviné les rapports entre les programmes malveillants détectés sous le nom de Korablin par Kaspersky Lab et les logiciels espions de la société HackingTeam.

 

Description de l'application tirée du site de la société HackingTeam
http://www.hackingteam.it/images/stories/RCS2012.pdf

La situation a changé en juillet 2012 lorsque de nombreux éditeurs de logiciels antivirus ont reçu un message contenant un échantillon de code malveillant sous Mac OS X qui présentait la même fonctionnalité.

Ce message a été reçu à l'adresse newvirus@kaspersky.com le 24 juillet 2012 à 05:51:24 (heure de Moscou). Il n'avait ni objet, ni contenu. Il possédait uniquement la pièce jointe AdobeFlashPlayer.zip. Le fichier joint était un fichier JAR autosigné contenant une application quelconque pour Mac OS X.

Très vite, la majorité des éditeurs de logiciels antivirus ont ajouté la détection du nouveau programme malveillant à leurs définitions, chacun sous un nom distinct : Crizis, DaVinci, Boychi, etc. (Kaspersky Lab l'a baptisé Morcut). Et presque tous les éditeurs de logiciels antivirus ont soupçonné la société HackingTeam, spécialisée dans la vente de logiciels de surveillances aux autorités judiciaires et policières de plusieurs pays, d'avoir développé ce programme.

Preuves

La similitude des fonctionnalités n'est qu'un des trois éléments indirects qui permettent d'établir le lien entre HackingTeam et le fichier analysé. Abordons les deux autres.

Les données de service du fichier Mac reçu contenaient des noms de dossiers et de modules utilisés par les auteurs pendant le développement du code de l'application. La combinaison de lettres RCS apparaissait à plusieurs reprises dans ces noms. Cela ressemble à l'abréviation de Remote Control System et elle est utilisée par la société HackingTeam dans les documents de promotion et dans la description de l'application sur le site.

Et troisièmement, un code d'exploitation qui téléchargeait le programme malveillant depuis le site hackigteam.it (ce code d'exploitation a été chargé sur le site Virustotal.com le 4 juillet 2012) a été identifié.  

Ainsi, l'enquête a permis d'établir les faits suivants :

1.       L'équivalence entre les fonctions du programme malveillant et celles de l'application proposée par HackingTeam.

2.       Des correspondances dans les noms utilisés dans les données de service du programme malveillant et sur le site de la société HackingTeam.

3.       Le téléchargement du programme malveillant depuis le site de la société HackingTeam.

Sur la base de ces éléments, on peut affirmer avec un degré de certitude assez élevé que les logiciels espions tombés entre les mains des spécialistes avaient été développés par la société HackingTeam. Dans la suite de cet article, nous désignerons ces programmes malveillants (sous Windows ou sous Mac OS X) sous le nom RCS.

Tous les fichiers malveillants pour Mac OS X envoyés par courrier contenaient des liens vers des fichiers qui se trouvaient dans le dossier d'un certain Guido :Mention du nom de l'utilisateur "guido" dans le code de l'application malveillante.

Quelle étrange coïncidence : l'utilisateur sur le site linkedin.com qui indique travailler comme développeur  chez HackingTeam s'appelle également Guido.

Un espion passionné

A l'heure actuelle, la collection de programmes malveillants de Kaspersky Lab compte plus de 100 exemplaires de RCS, sans grande différence au niveau de la fonctionnalité. Comme nous l'avons déjà dit, la description de ces échantillons correspond à la description de l'application Remote Control System publiée sur le site officiel de la société HackingTeam ainsi qu'à la description de l'application développée par HackingTeam et publiée sur le site de WikiLeaks (pdf).

Les fichiers de RCS pour Windows sont programmés en C++. Pour que l'application n'attire pas l'attention des logiciels antivirus, ses auteurs n'ont utilisé aucune méthode de protection contre les analyses, et cela est une caractéristique des applications utilisées dans le cadre d'attaques ciblées.

Toute la fonctionnalité de RCS est visible au début des fichiers exécutables lors de l'initialisation des objets.

La fonctionnalité permet d'affirmer que RCS est une programme malveillant qui se diffuse automatiquement et qui vise à voler des données personnelles et à octroyer un accès à distance sur le système infecté.

Pour remplir ses fonctions d'espion, l'application copie des données afin d'accéder aux comptes utilisateur et intercepter les messages depuis les navigateurs (Firefox, Internet Explorer, Chrome, Opera), les clients de messagerie (Outlook, Windows Mail, Thunderbird) et les clients de messagerie instantanée (Yahoo, MS Messenger, Google Talk, Skype, Paltalk, Thrillian). Elle intercepte également les flux audio et vidéo.

Toutefois, RCS possède des fonctions qui, d'après moi, sont excessives pour un logiciel espion. L'analyse des commandes envoyées depuis le serveur d'administration de RCS permet de mettre en évidence les plus marquantes d'entres elles. RCS est capable d'activer les fonctionnalités suivantes sur commande du centre d'administration :

1.       Mécanisme de diffusion automatique via les clés USB :

a.       Utilisation du mécanisme standard Autorun.inf (identique à la majorité des vers détectés par Kaspersky Lab sous le nom Worm.Win32.AutoRun) ;

b.      Utilisation de la fausse entrée "Open folder to view files" (méthode populaire utilisée pour la diffusion automatique de vers, dont le ver Kido/Confiker) ;

c.       Exploitation de la vulnérabilité CVE-2010-2568 (exploitée par Stuxnet dans le cadre de la diffusion automatique via des fichiers LNK).

2.       Infections de machines virtuelles Vmware avec copie automatique dans le dossier de démarrage automatique du disque virtuel.

3.       Infection des appareils mobiles BlackBerry et Windows CE.

4.       Mécanisme de mise à jour automatique.

5.       Utilisation d'un algorithme de chiffrement AES lors des interactions avec les fichiers et les serveurs d'administration.

6.       Installation de pilotes.

Nous tenons à signaler que RCS ne comporte aucun mécanisme de copie fidèle du contenu du système de fichiers ou de capture du contenu de la mémoire vive. Par conséquent, les résultats de l'exécution d'un code aléatoire dans le système (mise à jour automatique et installation de pilotes) ne permettent pas d'affirmer avec certitude, par exemple, que le contenu illégal qui se trouve sur l'ordinateur du suspect a bien été téléchargé par le suspect et non pas par l'opérateur de RCS. J'estime que cette application ne peut être utilisée pour recueillir des informations qui pourraient servir de preuves pour confirmer des actes illicites.

On peut dire que cette application possède une fonction pour le moins étrange : elle fait ce qu'elle ne devrait pas faire et ne fait pas ce que devrait faire une application qui recueille des informations pour la police scientifique.

Propagation

RCS se trouve sur les ordinateurs infectés sous la forme de plusieurs fichiers portant des noms aléatoires et d'une bibliothèque dynamique dont l'installation requiert des programmes malveillants complémentaires. Au cours de l'analyse, nous avons détecté des droppers et des downloaders utilisés pour installer RCS.

Après la publication sur WikiLeaks et en tenant compte des moyens des autorités judiciaires et policières dans plusieurs pays, j'ai supposé que la diffusion de RCS s'opérait via le remplacement des fichiers exécutables sollicités au niveau des fournisseurs d'accès Internet.

Toutefois, le fichier JAR auto-signé reçu dans le message électronique de juillet 2012 indiquait que RCS pouvait également être diffusé via des méthodes d'ingénierie sociale.

Les attaques ressemblent à ceci. L'utilisateur reçoit un message électronique qui contient soit un lien vers un fichier, soit le fichier en lui-même. Le contenu du message est rédigé de sorte à amener l'utilisateur à ouvrir le fichier ou à cliquer sur le lien.

Nous avons également pu confirmer que des droppers et des downloaders qui installent RCS peuvent être diffusés par courrier électronique. Les fichiers malveillants aux noms les plus divers peuvent porter les extensions RAR, ZIP ou EXE.

·         PPT.rar

·         FlashUpdate.exe

·         Setup.exe

·         Crack.exe

·         Photos.zip

·         GoogleUpdate.rar

·         Microsoft.exe

·         Install.rar

·         Wrar.exe

·         Important.rar

Liste des fichiers contenant le programme d'installation de RCS

De plus, l'analyse des fichiers qui téléchargent RCS nous a permis de découvrir une vulnérabilité jusque là inconnue et qui a reçu le numéro CVE-2013-0633. Cette vulnérabilité a été exploitée de manière traditionnelle pour une attaque ciblée : le destinataire reçoit un message électronique avec un document Word en pièce jointe qui contient un code d'exploitation 0jour, dans ce cas-ci pour Flash (ce code d'exploitation est décrit par Adobe, par exemple ici).

Codes d'exploitation

La recherche active des codes d'exploitation qui permettent d'installer RCS sur les ordinateurs des utilisateurs a commencé après la publication, en octobre 2012, d'une série d'articles par Citizen Lab qui décrivaient l'utilisation d'un code d'exploitation de la vulnérabilité CVE-2010-3333 pour infecter l'ordinateur d'un défenseur des droits de l'homme aux Emirats Arabes Unis avec RCS. A l'heure actuelle, la liste des vulnérabilités utilisées par le code d'exploitation détecté contient les éléments suivants :

·         CVE-2010-3333

·         CVE-2012-1682

·         CVE-2012-4167

·         CVE-2012-5054

·         CVE-2013-0633

Il convient de signaler que 4 vulnérabilités de la liste sont restées inconnues pendant plusieurs mois. Par conséquent, pendant cette période, les codes d'exploitation de ces vulnérabilités inconnues ont pu s'introduire sans difficulté sur pratiquement n'importe quel ordinateur.

Il existe actuellement encore quelques vulnérabilités qui, d'après nos hypothèses, pourraient servir à installer RCS. Cependant, les serveurs depuis lesquels les fichiers exécutables sont téléchargés à l'insu de l'utilisateur grâce aux codes d'exploitation fonctionnent par intermittence et il est pour l'instant impossible de démontrer si ces codes d'exploitation installent RCS.

Nous avons réussi à confirmer le téléchargement  de RCS depuis les adresses suivantes :

·         106.187.**.51

·         112.***.65.110

·         173.255.215.**

·         Update*******.info

·         176.**.100.37

·         176.74.1**.119

·         178.**.166.117

·         178.**.176.69

·         183.98.1**.152

·         184.107.2**.78

·         Fira******.com

·         187.***.43.35

·         198.58.**.113

·         200.67.***.2

·         Tmx****.com

·         200.**.245.36

·         2.228.65.***    

·         50.7.***.220    

·         50.116.***.11

·         17******.com

·         56****.members.linode.com 

·         76.***.33.13    

·         A*****.com

·         A***.com

·         ****b.5gbfree.com

·         li56*****.members.linode.com

·         *****update.selfip.com

·         Clos*****.com

·         Fad****.com  

·         wiki-****.com

·         wiki-*****.info

 

Morgan Marquis-Boire), dans cette publication de Citizen Lab. a avancé l'hypothèse que les produits de HackingTeam sont diffusés à l'aide de codes d'exploitation de la société française Vupen. Celle-ci se spécialise dans la recherche de vulnérabilités dans les applications les plus utilisées et vend des codes d'exploitation prêts à l'emploi aux gouvernements de différents pays. On ne sait toutefois pas si les codes d'exploitation de Vupen sont vendus en même temps que les applications de HackingTeam ou si ce sont les clients de ces deux sociétés qui les associent et les utilisent pour la surveillance des personnes suspectes.

Caractéristiques de l'exécution

Grâce à l'analyse des fonctions spécifiques de RCS, nous avons pu identifier quelques critères formels qui permettent de définir si un fichier quelconque appartient aux produits de HackingTeam en général et à RCS en particulier.

1.       Utilisation de mécanismes de débogage pendant l'exécution du fichier.

Pendant l'exécution, l'application peut vérifier son PID et afficher des messages relatifs à son fonctionnement.

2.       L'utilisation de requêtes AES POST chiffrées avec User-Agent fixe "Mozilla/4.0 (compatible;MSIE 5.0.1; Windows NT 5.0"

3.       Utilisation de la signature de fichiers exécutables pour déjouer les systèmes de protection installés sur les ordinateurs des utilisateurs.

Les signatures des composants RCS reprises dans les exemples 1 et 2 sont octroyées à des personnes physiques. Dans le dernier exemple, à la différence des deux premiers, le certificat est délivré au nom d'une organisation quelconque. Cette organisation s'appelle OPM Security Corporation

OPM Security

La société OPM Security est enregistrée au Panama et sur son site (www.opmsecurity.com), on peut lire que la société propose, entre autres, un logiciel baptisé "Power Spy" dont la description ressemble comme deux goutes d'eau à celle du logiciel RCS de HackingTeam.

Description de l'application "Power Spy" sur le site de OPM Security
http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

On peut donc supposer que la société OPM Security vend une ancienne version ou une version pirate de RCS. Qui plus est, cette application est accessible pour la modeste somme de 200 euros tandis que le prix moyen chez HackingTeam, d'après certaines informations, est d'environ 600 000 euros.

Il faut signaler également que OPM Security fait partie de OPM Corporation qui propose des services de création d'entreprise off-shore, d'obtention d'un deuxième passeport, etc.

 Description des activités de la société OPM Corporation publiée sur le site www.taxhavens.us

Statistiques des infections

Nous présentons ci-dessous une carte élaborée sur la base des données obtenues via KSN sur le nombre de tentatives d'installation des composants de RCS sur les ordinateurs d'utilisateurs à travers le monde depuis le début de l'année 2012.

Dans la mesure où RCS se caractérise par une structure à plusieurs modules[S1] , nous avons calculé la somme des détections des programmes malveillants suivants (noms tirés de la classification de Kaspersky Lab) pour élaborer la carte :

 

 

·         Backdoor.OSX.Morcut

·         Rootkit.OSX.Morcut

·         Trojan.OSX.Morcut

·         Backdoor.Win32.Korablin

·         Backdoor.Win64.Korablin

·         Rootkit.Win32.Korablin

·         Rootkit.Win64.Korablin

·         Trojan.Multi.Korablin

·         Trojan-Dropper.Win32.Korablin

·         Trojan-PSW.Win32.Agent.acnn

Si un utilisateur a été soumis à une attaque à plusieurs reprises, les données relatives au nombre de détection sont additionnées.

Total des tentatives enregistrées d'installation de RCS sur les ordinateurs
de clients de Kaspersky Lab à travers le monde,
janvier 2012 - février 2013

Nous tenons à signaler que les informations relatives aux tentatives d'infection des ordinateurs proviennent uniquement des clients de Kaspersky Lab et uniquement de ceux qui ont accepté de participer volontairement au KSN. Vu les caractéristiques et la précision des attaques de RCS, ces utilisateurs ne sont pas nombreux.

Il est possible d'évaluer l'intérêt des attaquants en comparant le nombre de tentatives d'infection sur un ordinateur attaqué dans chaque pays. Nous tenons à signaler que le Tadjikistan et l'Inde arrivent en tête du classement selon cet indice. Un seul ordinateur a été attaqué dans chacun de ces pays, mais l'attaque a été soutenue, avec 21 et 20 notifications respectivement.

RCS est particulièrement actif au Mexique pour 11 ordinateurs attaqués, il faut compter 14,5 tentatives d'infection par ordinateur. Le nombre le plus élevé d'utilisateurs attaqués a été enregistré en Italie : 19. Chacun d'entre eux a fait l'objet de 6,5 tentatives d'attaques.

Pays

Nombre d'utilisateurs uniques

Nombre d'attaques

Nombre d'attaques contre un utilisateur

Mexique

11

159

14,5

Italie

19

123

6,5

Vietnam

10

88

8,8

Émirats arabes unis

9

77

8,6

Irak

5

42

8,4

Liban

2

29

14,5

Maroc

4

27

6,8

Panama

4

23

5,8

Tadjikistan

1

21

21,0

Inde

1

20

20,0

Iran

2

19

9,5

Arabie saoudite

3

19

6,3

Corée, République de

5

18

3,6

Espagne

4

18

4,5

Pologne

6

16

2,7

Turquie

5

12

2,4

Argentine

2

12

6,0

Canada

1

8

8,0

Mali

1

8

8,0

Oman

1

8

8,0

Chine

3

8

2,7

États-Unis

4

6

1,5

Kazakhstan

2

5

2,5

Égypte

1

5

5,0

Ukraine

1

5

5,0

Ouzbékistan

1

5

5,0

Colombie

1

4

4,0

Taiwan, province de la Chine

3

4

1,3

Brésil

2

4

2,0

Russie

2

4

2,0

Kirghizstan

2

3

1,5

Royaume-Uni

1

3

3,0

Bahrain

1

2

2,0

Éthiopie

1

1

1,0

Indonésie

1

1

1,0

Allemagne

1

1

1,0

Libye

1

1

1,0

 

Activité des tentatives d'installation de RCS
sur les ordinateurs de clients de Kaspersky Lab à travers le monde,
janvier 2012 - février 2013

Un peu moins de 10 incidents ont été enregistrés sur des postes de travail dans des institutions publiques, des sociétés industrielles, des bureaux d'avocats et des médias.

Conclusion

Au cours des dernières années, des modifications sensibles ont touché le monde et ce n'est que récemment que les utilisateurs les ont découvertes : Des programmes utilisés en tant que cyberarme et d'outils de cyberespionnage ont été détectés.

Des sociétés privées qui, d'après les informations fournies sur les sites officiels de celles-ci, développent  des logiciels de collecte d'informations sur les ordinateurs des utilisateurs et les offrent aux autorités judiciaires et policières. Les pays qui ne disposent pas des moyens techniques correspondants peuvent acheter des programmes similaires auprès de sociétés privées. Malgré l'existence, dans la majorité des pays, de lois qui interdisent le développement et la diffusion de programmes malveillants, ces logiciels espions sont proposés sans aucune dissimulation de leurs capacités.

Ces sociétés ne sont pas encore très nombreuses et la concurrence sur ce marché est pratiquement inexistante. Les conditions sont ainsi réunies pour l'apparition de nouveaux acteurs et le début d'une course au développement technologique. D'après les informations dont nous disposons, ces sociétés n'engagent nullement leur responsabilité sur l'utilisation des applications qu'elles produisent : elles peuvent être utilisées pour la surveillance, pour des activités d'espionnage entre Etats ou par des cybercriminels qui cherchent simplement à s'enrichir.

La situation se complique avec la possibilité de voir apparaître de telles applications sur le marché libre où elles pourraient être revendues à n'importe qui.

Sources

 

1.       Brochure publicitaire de RCS www.hackingteam.it/images/stories/RCS2012.pdf

2.       Article sur RCS rédigé par CitizenLab https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/

3.       Description de l'activité de la société Vupen www.vupen.com/english/company.php

4.       Billet dans le blog d'Adobe sur la découverte d'une vulnérabilité inconnue blogs.adobe.com/psirt/2013/02/security-updates-available-for-adobe-flash-player-apsb13-04.html

5.       Documents de HackingTeam publiés sur le site de WikiLeaks wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf

6.       Description de l'application PowerSpy proposée par OPM Security www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html


 [S1]EN:

http://www.securelist.com/en/blog/719/New_malware_for_Mac_Backdoor_OSX_Morcut

 

Photo


  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Télécharger

Kaspersky Lab on the Web

Virus Analyst Blogs