Linux une porte dérobée en place depuis 2013 made in NSA

par **Parisien_entraide** » 24 févr. 2022 14:10

equation.jpg

Un rapport de 50 pages publié le 23/02/2022 par le laboratoire chinois Pangu Lab (Pangu Lab est un projet de recherche de l'équipe Pangu, qui est surtout connue pour ses jailbreaks iPhone) détaille un logiciel malveillant, découvert pour la première fois en 2013 lors d'une enquête sur un incident affectant une organisation gouvernementale chinoise.

Ils avaient déterminé à l'époque qu'il s'agissait d'une "porte dérobée APT de premier plan", mais une enquête plus approfondie nécessitait une clé privée qu'ils n'avaient pas pu obtenir.

Le malware avait été nommé Bvp47 sur la base de la chaîne "Bvp" couramment trouvée dans son code source et de la valeur " 0x47 " utilisée dans un algorithme de chiffrement.

2022-02-24_120726.jpg

Cette analyse plonge dans les aspects techniques d'une porte dérobée Linux désormais identifiée sous le nom de
Bvp47 qui est liée à Equation Group, donc.. à l'Agence américaine de sécurité nationale (NSA)

https://wikiless.org/wiki/Equation_Group?lang=fr
et voir le lien avec
https://wikiless.org/wiki/The_Shadow_Brokers?lang=fr

Bvp47 a survécu jusqu'à aujourd'hui presque sans être détecté, bien qu'il ait été soumis pour la première fois à la base de données antivirus de Virus Total il y a près d'une décennie, fin 2013.

Bvp47 obtenu à partir d'une analyse foresencique (https://wikiless.org/wiki/Analyse_forensique?lang=fr) s'est avéré être une porte dérobée avancée pour Linux avec une fonction de contrôle à distance protégée par l'algorithme de cryptographie asymétrique RSA, qui nécessite une clé privée pour l'activer. (il faut se rappeler également que dans toutes les instances cryptos il y a des membres de la NSA qui sont là pour veiller au grain)

En 2016 et 2017, un groupe mystérieux se faisant appeler The Shadow Brokers a divulgué de grandes quantités de données qui ont été volées au groupe Equation lié à la NSA , y compris de nombreux outils de piratage et exploits .
Au sein de ces fuites, les chercheurs de Pangu Lab ont trouvé la clé privée dont ils avaient besoin pour analyser plus en détail la porte dérobée Bvp47.

Selon les chercheurs, le logiciel malveillant a été utilisé dans le cadre d'une campagne qu'ils ont baptisée "Operation Telescreen", qui semble avoir ciblé près de 300 entités dans 45 pays sur une période de plus d'une décennie.

La porte dérobée a été utilisée contre des organisations des secteurs des télécommunications, de l'enseignement supérieur, de l'armée, de la science et du développement économique en Amérique du Nord, en Europe et en Asie, a déclaré Pangu Lab.

Bvp47 semble être conçu pour fournir à ses opérateurs un contrôle à long terme sur les appareils compromis et il inclut le rootkit, le contournement des fonctions de sécurité, l'anti-forensics, l'auto-suppression et d'autres capacités.

"L'outil est bien conçu, puissant et largement adapté", a déclaré Pangu Lab. "Sa capacité d'attaque réseau équipée de vulnérabilités 0day était imparable, et son acquisition de données sous contrôle secret s'est faite avec peu d'efforts."

Certains composants des fuites de Shadow Brokers ont été intégrés au framework Bvp47 - "dewdrop" et "solutionchar_agents" - indiquant que l'implant couvrait les systèmes d'exploitation basés sur Unix comme les distributions Linux grand public dont par exemple JunOS, FreeBSD, Solaris de Juniper.

Outre le fait que Pangu Lab attribue le malware Bvp47 au groupe Equation, l'analyse automatisée de la porte dérobée montre également des similitudes avec un autre échantillon du même acteur.

Le moteur d'attribution des menaces (KTAE) de Kaspersky montre que 34 des 483 chaînes correspondent à celles d'un autre échantillon lié à Equation pour les systèmes Solaris SPARC, qui présentaient une similitude de 30 % avec un autre malware Equation soumis à Virus Total en 2018 et publié par un chercheur sur les menaces. Deresz le 24 janvier 2022.

Source partielle : https://www.bleepingcomputer.com/news/s ... -10-years/
Liens :
Source : https://www.pangulab.cn/post/the_bvp47_ ... ion_group/
Le rapport https://www.pangulab.cn/files/The_Bvp47 ... oup.en.pdf

PETIT RAPPEL :

Linus Torvalds a lui-même admis (en 2013.. postérieurement à ce qu 'avait ajouté son père, voir plus bas car cela déclenchait des polémiques) avoir été approché par le gouvernement américain pour ajouter une porte dérobée mais il avait rappelé que l’intégration du moindre changement dans le noyau Linux doit passer par un processus d’approbation, et que tous les ajouts de code sont inspectés par les administrateurs de chaque branche et par les développeurs. (et là je ne parle pas de la video qui apparait ci dessous)

Initialement Linus indiquait qu'il plaisantait en indiquant dire "NON", et faire "OUI" de la tête (on peut noter que la conférence était sous le signe de la décontraction et que nombre de questions réponses incluaient de l'humour)
Mais avait t-il le choix ? En plus il n'avait la nationalité américaine que depuis 3 ans, et celle ci implique des devoirs et obligations)
https://www.youtube.com/watch?v=7gRsgkdfYJ8

Tous les medias aux ordres ont suivi (ici Ziff Davis) pour démentir
https://mashable.com/archive/linus-torv ... oU_sre2sqQ

NEANMOINS :

Il faut se rappeler que l'Open Source peut se voir intégrer du code malveillant ouvrant une faille
Il suffit tout simplement de changer de compilateur (1)

De nombreuses portes dérobées peuvent prendre la forme de bogues très subtils dans le logiciel, qui dépendent du timing et de conditions qui sont presque impossibles à détecter.
Depuis que la NSA a elle-même apporté des logiciels dans le noyau (SELinux), elle a eu plus qu'une opportunité.

Il existe 3 approches connues (du moins avérées)

En 2003
https://freedom-to-tinker.com/2013/10/0 ... t-of-2003/

En 2013 avec une Debian
https://freedom-to-tinker.com/2013/09/2 ... enssl-bug/

Et encore en 2013 où le père de Linus Torvalds confirme que la NSA voulait un accès dérobé (la suite de ce qui a été relaté un peu plus haut)
https://freedom-to-tinker.com/2013/09/2 ... enssl-bug/

Et concernant Openssl, pour nombre de distributions, il avait été livré des versions d'OpenSsl utilisant la méthode de cryptage "Dual Elliptical Curve" que RSA a si poliment (pour une somme modique) définie par défaut à la demande de la NSA américaine.
Il s’agit de la méthode de cryptage utilisant la propre porte dérobée de la NSA.

Déjà dans les années 2000 la NSA voulait sécuriser Linux, et avait même sorti en 2007 et actualisé en 2011 un guide pour sécuriser une distribution RED HAT ENTERPRISE (La Red Hat qui était déconseillée d usage dans "certaines" administrations FR du reste, mais je ne me m'étendrais pas sur le sujet :-)
Le lien NSA originel n existe plus mais on peut trouver une ancienne version de 2007 ici
https://centoshelp.org/docs/RHEL-Guide-i731.pdf

De toutes les façons, meme si il n'y a pas de porte dérobées mises volontairement, lorsque les outils NSA ont été divulgués par les ShadowBrockers, il a été démontré qu'ils accumulaient surtout des exploits.

La NSA a vraiment apporté un nombre important de correctifs à OpenSSL/SSH, par ex.
OpenSSL/SSH est le package assurant la sécurité de la plupart des machines Linux.

Cependant, peut-être que tous ces correctifs ne rendent pas le système plus sûr… parce que là on introduit le loup dans la bergerie :-)

En complément
https://www.newyorker.com/tech/annals-o ... ed-the-web

Se rappeler que https://wikiless.org/wiki/USA_PATRIOT_Act?lang=fr ouvre de nombreuses portes pour l'espionnage sans pouvoir y échapper pour les stés US
C'est un peu mieux maitrisé maintenant (on l'a vu avec des affaires concernant APPLE) mais tout dépend des stés car il peut y avoir des "honorables correspondants"
Ex connu de Snowden qui travaillait sous couverture chez DELL en Suisse

Voir ou revoir les reportages : "Operation Rubicon" et "Comment les États-Unis nous espionnent
viewtopic.php?t=68112

Mais bon ce ne sont que quelques vecteurs d'attaques, il y en a d'autres :
https://hackaday.com/2015/06/08/hard-dr ... ersistent/
le microcode CPU (cela nécessiterait une entreprise prête à collaborer, mais imaginez si Intel travaillait avec la NSA ? :-)
https://forum.hardware.fr/hfr/Hardware/ ... 4572_1.htm
un routeur, un protocole réseau, un serveur Web php, etc, même ... un plug in de navigateur :-)
https://www.newyorker.com/tech/annals-o ... ed-the-web

De toutes les façons la liste est trop longue

Une faille d'un système peut permettre d'entrer et faire ce que par ex indiquait un ancien Directeur de la DGSE (en réaction aux inquiétudes des services US sur HADOPI qui risquait de gêner leurs interceptions) il y a 4 ou 5 ans
" (...)l'accroissement des VPN n'aura pas de grandes conséquences sur la collecte d'informations : "Heureusement pour nous, si le chiffre a atteint un très bon niveau et que la crypto est de plus en plus normalisée, elle ne l'est pas forcément correctement, et c'est le bazar total pour ce qui est de son implémentation. Si le méchant utilise un tunnel VPN chiffré en 256 bits, on n'arrivera pas à le casser, mais s'il utilise Windows avec plein de failles, on s'y introduit, et on change son VPN en 40 bits... "

Pour les services US " l'utilisation massive de VPN pourrait contribuer non pas à brouiller l'écoute mais plutôt à accroître leur somme de travail. Il serait ainsi plus difficile de savoir pour quels motifs une connexion est chiffrée."

C'est là toute la différence entre de la récupération de masse de données, qui deviennent problématiques à traiter et nuit à l'efficacité, (il ne peut pas y avoir assez de personnel et cela introduit une latence pour les systèmes automatisés) et les interceptions ciblées comme en France qui à la base ont un dossier

Ensuite il faut se rappeler qu'il existe deux types principaux d'informations de valeur :

- Vos données réelles (comme les informations de carte de crédit, etc.)
et
- votre comportement.

De nos jours, ce dernier est principalement déterminé par vos activités en ligne et est la cible principale des services de renseignement US

Le reste comme les données médicales, les infos de cartes de crédits le sont surtout par les stés, qui peuvent du reste travailler avec les Services US (Amazon par ex ou les Stés de VPN), et ..les pirates

Pour les autres données techniques, les IP, par où ca passe, modèle de routeur, box, Wi fi ou pas etc ... c'est aussi stocké (ce que font les google cars par ex en aspirant tout ce qui traine dont les types de réseaux)

Ce que les stés savent ou peuvent savoir :

DZc-4WfW0AAz1rf.jpg

Ex de ce que vend Facebook (cela ne dit pas ce qu'ils détiennent, ce qui est différent)

Données que vend_facebook.png

Et c'est facile il y a juste à se servir :

Ce que les appareils savent de vous.jpg

Mieux : Ce n'est pas tout a fait le contenu qui peut être intéressant pour l'attaquant des Services, mais de savoir avec QUI vous communiquez réellement, et accessoirement OU (ce n'est pas la même finalité que pour les entreprises)

Mais vous n'avez rien à cacher :-)

Mettre en place des failles peut se révéler dangereux, car il ne faut pas considérer les Services des autres pays comme des idiots (Russie, Israel, Chine, etc...et aussi la France) qui peuvent les découvrir et les utiliser contre eux
Idem pour les outils (comme ceux volés à la NSA par un groupe de pirates)
Seulement cela, les USA ne l'ont toujours pas compris et ne le comprendront jamais (comme tout le reste)

____

(1) Ken Thompson (l'un des premiers développeurs C) avait construit une porte dérobée dans le compilateur du langage C afin que chaque fois que le programme "login" soit compilé, il insère une porte dérobée
Il l'a rendu auto-référentiel de sorte que lorsque le compilateur c lui-même a été compilé, il inclurait cette porte dérobée. Vous pouvez supprimer la porte dérobée du code source, mais comme elle se trouvait dans le binaire utilisé par le compilateur lui-même (et d'autres compilateurs ultérieurs), la porte dérobée se propagerait même sans être explicitement dans le code source. Cela a bien sûr été supprimé par la suite