DanderSpritz, l’un des outils de l’arsenal des cyberespions de la NSA
Des analystes israéliens en cybersécurité détaillent le fonctionnement de DanderSpritz, un ensemble d’outils de l’arsenal d’attaque de Equation Group, affilié à la NSA. Ils présentent DoubleFeature, un module d’enregistrement des différentes étapes de la post-exploitation.
Le 27 décembre, CheckPoint, entreprise israélienne de cybersécurité, affirme avoir trouvé "la pierre de Rosette" pour identifier les victimes compromises par DanderSpritz, l'un des outils ayant fait l'objet d’une fuite d’outils d’attaque informatique de niveau étatique.
Le 14 avril 2017, le groupe de pirates Shadow Brokers avait divulgué un ensemble d’outils destinés à pénétrer les systèmes informatiques adverses. C’était alors sa 5e diffusion. DanderSpritz fait partie de ces outils, attribués à Equation Group. Ce surnom a été attribué en février 2015 par les analystes en sécurité de Kapersky à un groupe d’attaquants, lié à l'unité de piratage d'élite Tailored Access Operations de la NSA.
Pour le gouvernement américain, il s'agit alors d'une perte de capacité très préjudiciable. D'autant plus embarrassante lorsque des attaquants tiers ont été en mesure de refaçonner l'un des exploits divulgués, appelé EternalBlue, pour dévaster des systèmes informatiques dans le monde entier. Ce furent les attaques WannaCry demai 2017 et NotPetya de juin 2017. Les dommages de NotPetya dépassent le 1 milliard de dollars cumulés.
Parmi les outils de Shadow Brokers, DanderSpritz est un outil très puissant qui permet de contourner les antivirus, désactiver et supprimer les journaux d'événements Windows, effectuer une reconnaissance locale et réseau, se déplacer au sein d'un réseau et d’exfiltrer les données.
DoubleFeature est le composant qui intéresse le plus les analystes de CheckPoint. Il fait office de tableau de bord et d'outil de diagnostic pour DanderSpritz. Créé en langage Python, DoubleFeature a pour but de parcourir l'environnement informatique de la victime, en générant des rapports qui aident l'attaquant à déterminer le type d'outils le mieux adapté après l’attaque sur le système d'une victime.
Parmi les plugins pilotés par DoubleFeature figurent des outils d'accès à distance appelés UnitedRake (alias EquationDrug) et PeddleCheap, une porte dérobée d'exfiltration de données appelée StraitBizarre, une plate-forme d'espionnage appelée KillSuit (alias GrayFish), un ensemble d'outils de persistance appelé DiveBar, un pilote d'accès réseau secret appelé FlewAvenue et un implant de validation appelé MistyVeal qui vérifie si le système compromis est bien une machine victime authentique et non un environnement de recherche.
"DoubleFeature pourrait être utilisé comme une sorte de pierre de rosette pour mieux comprendre les modules DanderSpritz et les systèmes compromis par eux", a ajouté la société israélienne de cybersécurité. "C'est le rêve d'une équipe d'intervention en cas d'incident."