Il y a quelques semaines le monde entier découvrait un groupe de pirates nommé Shadow Brokers. Ces derniers revendiquaient le piratage des systèmes informatiques du groupe Equation, proche de la NSA. Comme preuves, ils ont publié deux archives contenant des outils, des failles, etc. Seule la première de 300 Mo était mise à disposition gratuitement.
Au sein de cette archive, la majorité des chercheurs et spécialistes en sécurité est partie à la recherche du Saint Graal : des failles Zero-Day. Mais pour Nick Beauschene, chercheur en sécurité au sein de la société Vectra, il y a d’autres outils dans cette archive qui peuvent être aussi dangereux.
Un de ces dangers s’appelle « NoPen ». Les experts en sécurité l’ont déjà décrit comme une technique « post-exploitation shell » que le groupe Equation installait sur des terminaux compromis, lui donnant l’accès à ce terminal.
Pour Nick Beauschene, il n’y a pas de doute, NoPen est un RAT (Remote Administration Tool) pour les systèmes Unix. Ce terme de RAT est souvent utilisé pour nommer des logiciels malveillants placés sur les terminaux Windows et Android permettant aux pirates de se connecter aux systèmes infectés. La référence à NoPen dans l’arsenal publié par Shadow Brokers est multiple et complexe. « Cela semble une pierre angulaire de leur infrastructure », précise le chercheur. Dans le détail, l’outil « donne des capacités shell (injection libnet, élévation de privilèges) et de tunnel relativement puissantes, le tout est joliment empaqueté avec le désormais célèbre chiffrement RC6 », ajoute Nick Beauschene.
Selon son analyse, NoPen fonctionne sur plusieurs types d’architectures, i386, i486, i586, i686, i86pc, i86, SPARC, Alpha, x86_64 et AMD64. Autrement dit, le RAT peut cibler différents systèmes d’exploitation comme Linux, FreeBSD, SunOS et HP-UX. La bonne nouvelle, dixit le spécialiste, est que certaines solutions de sécurité vont pouvoir maintenant être en mesure de détecter la présence de NoPen sur les réseaux et ce malgré l’utilisation du chiffrement RC6 pour masquer son trafic.
A lire aussi :
Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA
Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…