NSA / TAO : le chemin vers vos serveurs

Posté par (page perso) . Édité par Benoît Sibaud, palm123, NeoX et tuiu pol. Modéré par ZeroHeure. Licence CC by-sa
34
24
sept.
2014
Sécurité

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Sommaire

Foreignpolicy.com indique que plus de 1000 personnes, civiles et militaires, y travailleraient à partir de 5 bases : ROC (pour Remote Operations Center), basé à Fort Meade (Maryland) qui est entre autres le quartier général de la NSA, Hawaii (Wahiawa, Oahu), Fort Gordon (Georgie), au Texas Cryptologic Center et à la base de l'US Air Force BKF (Denver).

TAO est divisé en quatre départements, chacun spécialisé dans un domaine précis, l'ensemble des équipes travaillant par roulement 24/7 :

  • Data Network Technologies (DNT) qui s'occupe de la conception de malwares,
  • Telecommunications Network Technologies (TNT) cible spécifiquement les méthodes de pénétrations dans les réseaux et les ordinateurs (bien entendu sans se faire détecter),
  • Mission Infrastructure Technologies (MIT) développe et construit les outils de monitoring hardware ainsi que les infrastructures qui permettent de tout supporter.
  • Access Technologies Operations (ATO) travaille avec la CIA et le FBI. Ces deux derniers mettant en place des modules de surveillance permettant aux opérateurs de TAO de les utiliser à distance.

TAO sort de l'ombre

Même si les premières informations publiques datent de l'été 2013, cette branche de la NSA est réellement sortie de l'ombre en décembre 2013 avec la conférence "To protect and infect, part 2: The militarization of the Internet" de Jacob Appelbaum au 30c3 où il présente les différents programmes d'attaque et de collecte, en coopération avec le Spiegel (Inside TAO: Documents Reveal Top NSA Hacking Unit).

Vidéo 30C3 : mp4 - webm

En plein milieu des "révélations Snowden", c'est un coup de tonnerre.

Les programmes peuvent se classer en différentes catégories : les implants matériels et les implants logiciels, dans lesquels on peut en mettre d'autres, comme ceux qui visent les téléphones (aussi bien GSM, smartphone que satellite), les malwares, et les programmes "RF" (pour radio-fréquences). Comme vous allez le voir, TAO fait plutôt de l'ultra-ciblé que de l'écoute de masse (au contraire du GCHQ). Ce qui concorde parfaitement avec leur mission : réussir à avoir les infos là où elles sont difficiles d'accès.

Les programmes

Présenter un tel catalogue implique de sélectionner certains de ses éléments sans s'étendre sur son intégralité. Quasiment tous les programmes sont intéressants de par leur méthodes opérationnelles, cependant, dans la mesure du possible, nous parlerons seulement des programmes qui sortent de l'ordinaire. On ne parlera par exemple pas trop des variantes d'IMSI catcher que l'on peut trouver partout.

Implants logiciels

IRATEMONK permet de modifier les microcodes des disques durs de différentes marques (Western Digital, Seagate, Maxtor et Samsung) pour exécuter du code lors du démarrage.

Téléphones
  • DROPOUTJEEP - implant pour Iphone, la NSA indique dans le catalogue que DROPOUTJEEP avait 100% de chances de succès.
  • MONKEYCALENDAR - implant ciblant les cartes SIM (Subscriber Identify Module) et envoi par SMS, à un numéro défini, les appels et la géolocalisation de l'utilisateur.
  • TOTEGHOSTLY - malware ciblant les téléphones Windows (mais quelle version ?), utilisant le framework CHIMNEYPOOL et contrôlé par STRAITBIZARRE. Il est utilisé pour mettre en place ou exfiltrer des fichiers, des sms, la liste des contacts ou encore trouver la géolocalisation via sms ou connection GPRS. L'attaquant a aussi le contrôle de la caméra et du micro.
  • TOTECHASER - malware ciblant le téléphone satellite/GSM Thuraya 2520 basé sur Windows CE. Il est utilisé pour exfiltrer les données de géolocalisation ainsi que les logs des appels et la liste de contacts via des sms cachés. Les sms servent aussi à l'attaquant à contrôler le téléphone. Selon les documents, l'implémentation de ce malware nécessite de modifier le téléphone lui même.

Ce genre d'attaque est la spécialité de l'entreprise FinFisher (Gamma International) qui est spécialisée dans les malwares "légaux" (lire "pour les forces de l'ordre, que vous soyez une dictature ou non"). Pour plus de détails sur les capacités de leurs malwares, lire "Gamma FinFisher hacked: 40 GB of internal documents and source code of government malware published" (netzpolitik.org) ainsi que "SpyFiles 4" (wikileaks.org) concernant les malwares eux-mêmes.

Il n'y a normalement aucun lien entre la NSA et FinFisher, mais les URLs vous permettront de mieux appréhender ce que l'on peut faire avec des malwares sur des téléphones.

Serveurs et firewalls
  • SWAP exploite le bios de la carte-mère et le Host Protected Area des disques durs pour obtenir des fenêtres d'exécution avant que le système ne charge. Cette technique fonctionne sur des systèmes Windows, Linux, FreeBSD, et Solaris,
  • JETPLOW est un implant persistant (sous la forme d'un firmware) ciblant la série des Cisco PIX et des pare-feux ASA (Adaptive Security Appliance) et permettant la mise en place d'une porte dérobée. À noter que BANANAGLEE fonctionne aussi sur ce type de matériel (et pas seulement sur du Juniper),
  • DEITYBOUNCE - implant logiciel exploitant le bios de la carte mère des serveurs Dell PowerEdge,
  • Les programmes se finissant par "MONTANA" (SCHOOLMONTANA / SIERRAMONTANA / STUCCOMONTANA) visent les serveurs Juniper alors que les programmes finissant par TROUGH (GOURMETTROUGH / SOUFFLETROUGH / FEEDTHROUGH) visent spécifiquement les firewalls du même constructeur,
  • IRONCHEF fournit un accès persistant sur les serveurs HP Proliant 380DL G5 en exploitant le BIOS de la carte-mère et le System Management Mode (SMM) via un implant matériel qui permet une communication via des ondes radio,
  • Les programmes se finissant par "WATER" (HALLUXWATER / HEADWATER) visent les pare-feux Eudemon du constructeur Huawei en installant une porte dérobée persistante via une "mise à jour" de la ROM du boot.

Implants matériels

ANGRYNEIGHBOR regroupe différents programmes d'écoutes fonctionnant à distance avec des ondes, que ce soit radar ou radio. Ils fonctionnent le plus souvent avec une balise et fonctionnent même si l'ordinateur n'est pas branché à un réseau. Un générateur d'ondes (CW) illumine (comprendre "envoie des ondes vers") la balise, qui utilise alors ces ondes pour renvoyer ses informations. On parle alors d'ondes RF pour les fréquences radios et d'ondes radars pour le reste.

  • COTTONMOUTH est un implant USB (matériel) avec un lien RF qui permet l'infiltration ou l'exfiltration de données. Compatible avec GENIE,
  • BULLDOZER et GINSU sont des malwares visant le bus PCI, installé via INTERDICTION, ils peuvent être connectés sur une carte WIFI ou sur un routeur pour collecter des métadonnées et du contenu,
  • FIREWALK est un implant pour l'Ethernet (rj45/USB ?) permettant un pont RF
  • LOUDAUTO est un rétro-réflecteur utilisant les ondes radar et du post-traitement basique pour récupérer l'audio d'une pièce.
  • SURLYSPAWN permet de collecter les frappes au clavier sans devoir avoir un logiciel installé sur le système cible, il faut qu'il soit seulement touché une fois.
  • PHOTOANGLO (comme le CTX4000), est un générateur d'ondes en continu (CW),
  • RAGEMASTER fournit la "balise" qui sera illuminée par un générateur d'ondes. Il est installé dans un câble VGA standard et permet la récupération du signal vidéo. La description du catalogue rapporte que RAGEMASTER ne prend en compte que la "sortie" rouge du VGA car c'est celui qui fournit le meilleur retour vidéo.
  • TAWDRYYARD sert de balise permettant de géolocaliser et d'identifier un périphérique implémentant RAGEMASTER.

En lisant le catalogue, on peut parfois voir qu'un programme est fait de composants "COTS" ("Commercial Off-The-Shelf), ce qui signifie que l'on peut le trouver librement sur le marché et donc que l'on ne peut pas remonter à la NSA si quelqu'un le trouve. Si vous souhaitez plus de détails, vous pouvez voir les liens suivants : les 48 pages du catalogues, "Inside TAO: Documents Reveal Top NSA Hacking Unit", "N.S.A. Devises Radio Pathway Into Computers" ou encore "Jacob Appelbaum: Futuristic-Sounding "Radar Wave Devices".

Et les drones ?

NIGHTSTAND, permet d'injecter des exploits sur une ou plusieurs cibles via un réseau WIFI. Il est typiquement utilisé lorsque la cible n'est pas accessible via un réseau câblé, et l'attaque est indétectable par l'utilisateur. Les documents indiquent que dans un environnement idéal, il est possible d'attaquer un réseau WIFI à une distance de ~12 kilomètres. NIGHTSTAND est aussi utilisable à partir d'un drone.

Sur le même thème, vous pouvez aussi regarder les programmes suivants : SPARROW-II (ordinateur embarqué sur du Linux, permet d'exploiter un réseau WIFI à distance), SHENANIGANS (permet la captation massive de données, provenant aussi bien de routeurs WIFI que de smartphones), GILGAMESH (localisation d'une carte SIM à partir d'un drone) et VICTORYDANCE (coopération NSA/CIA : empreinte des réseaux WIFI de quasiment toutes les grandes villes yéménites).

Mais comment font-ils ?

Comment font-ils pour accéder physiquement au serveur s'ils doivent mettre en place des implants matériels ? Ou pour casser de la crypto ? Où encore pour accéder aux différentes réseaux ?

Il existe un programme, appelé INTERDICTION qui consiste à intercepter un colis pendant son transfert pour y installer ce que vous voulez, le tout est renvoyé rapidement et discrètement (et avec le bon emballage bien entendu) à la cible. Le simple fait de commander du matériel en ligne est donc potentiellement un danger. La parade est plutôt simple, il suffit d'aller en magasin. Et comme conclut à juste titre the register, il n'y a apparemment aucun "programme" qui possède une période de validité (à par SEASONEDMOTH). Ce qui veut dire une chose : méfiez-vous de à qui vous achetez votre matériel d'occasion :]

Pour le chiffrement, c'est BULLRUN qui rentre en jeu : il vise à supprimer le chiffrement dans un environnement donné : CNE (Computer Network Exploitation), INTERDICTION (et donc pose d'implants), collecte de données (comme les rapports d'erreurs de Windows) relation avec les entreprises : au hasard RSA ou encore Microsoft (cf. PRISM) ,

Skype prism SSO

ou avec d'autres services (par exemple le FBI pour Microsoft)

Microsoft FBI

À ce sujet, je m'interroge sur Google et les Google cars scannant les réseaux WiFi en 2010. L'information importante n'était pas que Google capte des données sur des réseaux ouverts, mais qu'il a "mappé" TOUS les SSID des réseaux wifi ainsi que leurs localisations : exactement la même chose que ce que la NSA a fait au Yémen avec VICTORY DANCE. Le fait de savoir où se trouve un réseau wifi permet de géolocaliser une cible en ayant accès à son téléphone ou à son ordinateur sans même qu'il ne soit connecté à un réseau, son wifi doit juste être allumé. S'il est connecté, il devient alors possible de faire un lien entre une adresse IP et un SSID.

Continuons avec BULLRUN : il ne faut pas oublier que la NSA a certains des meilleurs mathématicien-ne-s au monde qui travaillent sur de la cryptographie pour améliorer ou au contraire affaiblir des protocoles (comme IPsec par exemple), mais aussi pour trouver des failles à exploiter avant les autres. Ainsi, en novembre 2013, Jacob Appelbaum (qui a eu accès à des documents classifiés d'une autre source que Snowden) disait que "RC4 is broken in real time by the NSA - stop using it." (RC4 est cassé en temps réel par la NSA, arrêtez de l'utiliser).

Il peut aussi y avoir des attaques plus simples , par exemple sur l'utilisation de STARTTLS au lieu de SSL/TLS ; son utilisation permet dans certains cas de forcer une connexion en clair au lieu d'avoir un chiffrement quelconque (d'où l'intérêt de mettre ssl = required et non ssl = yes).

Oui et alors ?

La NSA peut alors utiliser des outils comme XKEYSCORE (dont j'avais parlé dans le premier article) qui permet de rechercher en quasi temps réel dans les différentes bases de données de la NSA et d'autres services : ça peut aller de la nationalité, au sexe, la géolocalisation, l'IP, aux résultats de DISCOROUTE (écoute passive et planétaire du protocole Telnet), en passant par les personnes qui téléchargent le logiciel Tor jusqu'aux sessions VPN, etc….

Une fois une cible définie (comme un administrateur système et/ou réseau, cf. I Hunt sysadmin), la NSA peut alors rediriger une cible vers un serveur FOXACID (pour injecter du code dans son navigateur en utilisant des 0-day), la NSA réalise un Man-in-the-Middle via des fausses pages web (Linkedin, slashdot, …) lors de la redirection en utilisant ses serveurs QUANTUM et du Deep Packet Inspection (TURBINE /TURMOIL).

Pour plus de détails sur cette méthode, vous pouvez lire les articles suivants :

Pour la petite histoire, la société française VUPEN a vendu des 0-day à la NSA, et aussi à FinFisher.

Certains documents rapportent 231 opérations en 2011, dont les 3/4 étaient en priorité contre l'Iran, la Russie, la Chine, la Corée du nord et la prolifération nucléaire. Voici quelques autres cibles :

Pour finir, un document indique que TAO est en train de travailler (en 2011) sur des implants pouvant identifier des "conversations intéressantes" dans un réseau ciblé et d'exfiltrer des morceaux.

Sources

TAO - catalogue ANT

Tag ANT (NSA) sur nsa-observer.net

BULLDOZER - CANDYGRAM - COTTONMOUTH-I - COTTONMOUTH-II - COTTONMOUTH-III - CROSSBEAM - CTX4000 - CYCLONE - DEITYBOUNCE - DROPOUTJEEP - ENTOURAGE - FEEDTROUGH - FIREWALK - GENESIS - GOPHERSET - GOURMETTROUGH - HALLUXWATER - HEADWATER - HOWLERMONKEY - IRONCHEF - JETPLOW - JUNIORMINT - LOUDAUTO - MAESTRO-II - MONKEYCALENDAR - NEBULA - NIGHTSTAND - NIGHTWATCH - PHOTOANGLO - PICASSO - RAGEMASTER - SCHOOLMONTANA - SIERRAMONTANA - SOMBERKNAVE - SOUFFLETROUGH - SPARROW-II - STUCCOMONTANA - SURLYSPAWN - SWAP - TAWDRYYARD - TOTECHASER - TOTEGHOSTLY - TRINITY - WATERWITCH - WISTFULTOLL

  • # Nice

    Posté par . Évalué à 2.

    J'ai mis un peu de temps à comprendre comment c'était organisé, mais c'est pas mal du tout comme archivage avec les liens et graphes.
    Si je puis me permettre: un backup ded articles sources, les pages web ne sont pas éternelles et le SSL qui est US.

    Ça soulève un mouvement que l'on ne rencontre que trop rarement: la centralisation des connaissances communautaires, Wikipédia l'a fait, maintenant pour la NSA, et après ? les leaks de tout poils.

    C'est encourageant =)

    • [^] # Re: Nice

      Posté par (page perso) . Évalué à 4.

      hello,

      tu la base de données de nsa-observer en libre accès ici : https://www.nsa-observer.net/export/wiki

      sens toi libre de faire les backups que tu veux :]

      • [^] # Re: Nice

        Posté par . Évalué à 1.

        Nonon, je parle des sources des articles, qui pointent vers des pages web externes
        exemple:
        Sources theatlantic.com - An Educated Guess About How the NSA Is Structured

  • # trompé de cible

    Posté par (page perso) . Évalué à 5.

    au final les terroristes ne sont pas juste ceux qui sont actuellement attaqués…
    est-t'on vraiment en démocratie?

    www.solutions-norenda.com

    • [^] # Re: trompé de cible

      Posté par . Évalué à 0.

      le fait que tu puisses poser la question est un bon indicateur…

      • [^] # Re: trompé de cible

        Posté par . Évalué à 10.

        … que tu peux t'exprimer (relativement) librement.

        démocratie : souveraineté du peuple

        La liberté d'expression est une condition nécessaire, pas suffisante.

        • [^] # Re: trompé de cible

          Posté par . Évalué à 10.

          La liberté d'expression est une condition nécessaire, pas suffisante.

          Sans compter que la liberté d'expression « sauf cas prévu par la loi » ça ne vaut pas grand chose.
          Vous ne trouverez pas le moindre pays dans le monde, même parmi les pires, qui n'est pas un grand défendeur de la liberté d'expression (sauf cas prévus par la loi).

          Les exceptions en droit français sont nombreuses, et certaines sont dangereuses…

          Please do not feed the trolls

        • [^] # Re: trompé de cible

          Posté par . Évalué à 2.

          D'un autre côté, je ne connais pas des masses de « non-démocratie » qui accorde une grande liberté d'expression…

          Donc son commentaire n'est pas faux: c'est un bon indicateur… mais sûrement pas une condition suffisante.

          • [^] # Re: trompé de cible

            Posté par . Évalué à 4.

            La liberté d'expression est normalement garantie par la constitution chinoise :

            Article 35
            Les citoyens de la République populaire de Chine jouissent de la liberté d'expression, de la presse, de réunion, d'association, de défiler et de manifestation.

            On ne peut dire pour autant que la Chine est garantie pour sa démocratie. (En même temps, ce principe n'est pas vraiment respecté).

    • [^] # Re: trompé de cible

      Posté par . Évalué à 3.

      est-t'on vraiment en démocratie?

      Suffit de comparer: dans une démocratie, le peuple vote les lois.

      • [^] # Re: trompé de cible

        Posté par . Évalué à 2. Dernière modification le 25/09/14 à 13:26.

        Selon ta définition il n'y a pas beaucoup de démocraties dans le monde. Peut être la Suisse qui utilise beaucoup le référendum.
        En France ce sont les parlements - assemblée nationale et sénat - qui votent les lois, en aucun cas le peuple.
        Le lien entre les lois ou les amendements votés et le résultat des élections est très loin d'être évident : si je vote François, François n°2, Nico ou Jean-Luc ou pour leurs partis (selon l'élection) je ne sais pas du tout quelles lois vont être promulgués par la suite.
        Au mieux j'en ai une vague idée mais jamais aucune certitude.

      • [^] # Re: trompé de cible

        Posté par (page perso) . Évalué à 5.

        dans une démocratie, le peuple vote les lois

        Ne pas jouer sur les mots, tu parles de démocratie directe.
        À notre époque on parle de démocratie pour dire en fait « démocratie représentative ».

        Nous sommes à une époque ou je pense qu'il est de nouveau possible d'avoir des démocratie directe.
        Possible techniquement. Parce que je doute que nos admirables protecteurs/gouvernants/décideurs soient bien d'accord pour laisser la plèbe décider de son sort.

        • [^] # Re: trompé de cible

          Posté par . Évalué à 2.

          Nous sommes à une époque ou je pense qu'il est de nouveau possible d'avoir des démocratie directe.
          Possible techniquement. Parce que je doute que nos admirables protecteurs/gouvernants/décideurs soient bien d'accord pour laisser la plèbe décider de son sort

          Le meilleur argument contre la démocratie est une conversation de cinq minutes avec l'électeur moyen.
          Winston Churchill

          • [^] # Re: trompé de cible

            Posté par . Évalué à 2.

            Le meilleur argument contre la démocratie est une conversation de cinq minutes avec l'électeur moyen.
            Winston Churchill

            J'ai envie de patcher ainsi :

            Le meilleur argument contre la démocratie est une conversation de cinq minutes avec l'électeur moyen dont l'opinion est forgée principalement par les médias de masse.

            Les gens sont meilleurs que ça, bien meilleurs…

            Please do not feed the trolls

        • [^] # Re: trompé de cible

          Posté par . Évalué à 2.

          Définition de la démocratie selon le philosophe Paul Ricœur : «Est démocratique, une société qui se reconnaît divisée, c’est-à-dire traversée par des contradictions d’intérêt et qui se fixe comme modalité, d’associer à parts égales, chaque citoyen dans l’expression de ces contradictions, l’analyse de ces contradictions et la mise en délibération de ces contradictions, en vue d’arriver à un arbitrage».

          A ma connaissance, la seule définition procédurale de la démocratie.

  • # Stuxnet

    Posté par . Évalué à 2.

    Je n'ai pas trop suivi dernièrement mais est ce qu'on a maintenant une preuve directe (je veux dire autre chose que des suppositions fortes) que ce sont les États-Unis et Israël qui sont à l'origine de Stuxnet. L'article du Spiegel ne prend pas de pincettes et donne cette information avec assurance

    The most well-known and notorious use of this type of attack was the development of Stuxnet, the computer worm whose existence was discovered in June 2010. The virus was developed jointly by American and Israeli intelligence agencies to sabotage Iran's nuclear program, and successfully so.

    Or, l'article sur Wikipédia (anglophone) est beaucoup moins catégorique et parle seulement d'hypothèses fortes.

    Y-a-t'il du nouveau sur le sujet (documents fuités ou autre) ?

    • [^] # Re: Stuxnet

      Posté par . Évalué à -1.

      Et sur son lien avec Fukushima ?

      • [^] # Re: Stuxnet

        Posté par . Évalué à 7. Dernière modification le 26/09/14 à 00:54.

        D'après les rapports l'accident est lié à des vannes qui se sont fermées automatiquement après la rupture de l'alimentation électrique. Ce qui a coupé le système de refroidissement de secours.

        La procédure quand à la nécessité d’ouvrir manuellement cette vanne pour permettre au condenseur de fonctionner après une coupure totale du courant n'était visiblement pas maîtrisée.

        La salle de contrôle a été plongée dans le noir, au passage, ça doit être une sensation très particulière. Je n'ose imaginer le cauchemar pour les gens présents dans cette salle quand tout s'est arrêté. Et à leur décharge je ne suis pas sûr qu'ils avaient eu droit à une simulation du type : Messieurs voici beaucoup d'eau, une lampe torche et un stylo, c'est tout ce qu'il vous reste alors bonne chance.

        Quand ils ont pu rétablir partiellement le courant dans la salle de contrôle, il y a eu une mauvaise lecture des instruments. Le niveau d'eau semblait normal à cause de la pression dans la cuve. Ils ont ensuite remarqué que le niveau augmentait a cause de la pression et que les vannes étaient en position fermés mais il était déjà trop tard.

        Au vu des circonstances exceptionnelles de l'accident, de l’enchaînement improbable de problèmes et des erreurs humaines, les ingrédients pour le parfait scénario catastrophe sont déjà là, pas besoin d'y ajouter un virus.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.