Wikileaks révèle Hive : le système de contrôle des virus de la CIA le plus secret

MINNEAPOLIS – Vendredi matin, Wikileaks a publié son cinquième lot de documents Vault 7 qui a exposé les techniques de piratage de l’US Intelligence Central Intelligence Agency. La dernière version, intitulée “Hive“, met en lumière la suite de logiciels malveillants multi-plate-forme de l’agence qui permet à la CIA de surveiller les cibles via les logiciels malveillants ainsi que la capacité de réaliser des tâches spécifiques sur les machines compromises.

Hive est censé fournir des implants personnalisables pour une variété de systèmes d’exploitation pour différents types d’appareils, pas seulement les ordinateurs, les tablettes et les téléphones. Parmi les plates-formes vulnérables à Hive, on trouve Linux, Windows, Solaris, MikroTik (utilisé dans les routeurs Internet) et AVTech Network Video Recorders (souvent utilisé dans l’enregistrement CCTV). Lancé pour la première fois en 2010, Hive est essentiellement un «implant» qui fonctionne comme une balise, ce qui permet aux pirates de la CIA de s’impliquer dans des dispositifs qui leur permettent de déployer d’autres outils, tels que ceux détaillés dans les versions précédentes.

Wikileaks a décrit la fonction de Hive en tant que «infrastructure de malware» qui utilise des interfaces HTTPS publiques qui fournissent des «domaines de couverture sans risque» pour cacher sa présence sur les périphériques infectés. Chacun de ces domaines est lié à une adresse IP dans un fournisseur virtuel de serveur privé virtuel (VPS), qui transmet tout le trafic entrant vers ce que l’on appelle un serveur “Blot”. Tout le trafic redirigé est ensuite examiné par les pirates informatiques de la CIA pour voir s’il contient une balise valide. Si tel est le cas, un gestionnaire d’outils (appelé Honeycomb dans les documents publiés) est utilisé et la CIA peut alors commencer à lancer d’autres actions sur l’ordinateur cible. Le guide de l’utilisateur publié montre que Hive permet le téléchargement et la suppression de fichiers ainsi que l’exécution d’applications sur le périphérique.

Contrairement à d’autres outils de Vault 7 qui peuvent persister indéfiniment sur des périphériques ciblés, Hive est doté d’une fonction “auto-suppression” qui permet au logiciel malveillant de se détruire s’il ne reçoit aucun signal de la CIA pendant un certain temps. L’effacement automatique ne laisse qu’un fichier de connexion et de configuration, contenant uniquement un horodateur. Apparemment, cette fonctionnalité a posé des difficultés aux développeurs de la CIA car l’élimination automatique peut être “problématique en raison de l’incapacité d’évaluer avec précision la fiabilité de l’horloge système de l’hôte”, selon le Guide des développeurs de Hive.

Wikileaks a noté que les sociétés anti-virus ainsi que des experts ont remarqué que ces logiciels malveillants, potentiellement issus d’un acteur de l’État, utilisaient la même implantation d’infrastructure de malware que Hive le fait. Grâce à l’analyse de la communication entre implants spécifiques, ces experts et sociétés de logiciels ont pu déterminer que l’origine du malware provenait d’une «organisation dotée de ressources suffisantes» qui était impliquée dans des opérations de collecte de renseignements.

Cependant, il n’a pas été possible d’attribuer l’arrière-plan ou les implants à la CIA, même si la publication de Wikileaks sur Hive pourrait changer cela. En effet, Wikileaks a noté dans son communiqué de presse que «les documents de cette publication pourraient permettre aux chercheurs et experts anti-malware d’analyser ce type de communication entre les implants malveillants et les serveurs utilisés dans les activités illégales précédentes”.

La dernière publication de Wikileaks vient des déclarations agressives du directeur de la CIA, Mike Pompeo, contre l’organisation qu’il qualifiait de «service d’intelligence hostile non étatique». Il a également condamné le rédacteur en chef de Wikileaks, Julian Assange, de faire “cause commune avec les dictateurs”. Alors que d’autres directeurs de la CIA ont ciblé à la fois Wikileaks et Assange dans le passé, Wikileaks a maintenant cinq versions d’outils de piratage de la CIA les plus secrets qui ont peut-être provoqué une escalade dans la rhétorique de Pompeo. Il reste à voir si cette rhétorique se traduira par une action, cependant.

Assange, pour sa part, ne semble pas trop préoccupé, il a préféré répondre avec une réplique spirituelle en pointant du doigt le manque de crédibilité de la CIA en faisant de telles accusations :

Source : MintPress News