CIA - Central Intelligence Agency
WikiLeaks vient de publier de nouveaux documents concernant plusieurs outils d’infection utilisés par la CIA. Rassemblés sous le projet Angelfire, ils ciblent les ordinateurs sous Windows 7 ou Windows XP en s’attaquant au secteur de démarrage.
Dans le cadre de sa mission Vault 7, Wikileaks lève le voile sur un nouveau projet secret de la CIA. Nommé “Angelfire project”, il rassemble cinq outils de piratage afin de compromettre des systèmes sous Windows XP et Windows 7. Tous travaillent ensemble au travers d’une infection du secteur de démarrage de l’unité de stockage.
Solartime est un logiciel malveillant dont l’objectif est de modifier le secteur de démarrage afin d’exécuter un deuxième module nommé Wolfcreek. Ce dernier a pour fonction de permettre le chargement d’autres implants. Le troisième module, Keystone, est lié à Wolfcreek. Son rôle est de permettre un démarrage de logiciels malveillants sur les systèmes compromis. Tout ceci fonctionne de manière transparente. Aucun fichier système n’est modifié.
Enfin BadMFS est un système de fichiers cryptée et cachés à la fin de la partition active. Le cinquième élément est une alternative à BadMFS. Windows Transitory File system est présenté comme une nouvelle méthode d’installation d’AngelFire. Le processus utilise cette fois des fichiers temporaires.
WikiLeaks souligne cependant que ces différents outils du projet Angelfire ne sont pas parfaits. Leurs actions et leurs présences sont détectables en raison de plusieurs problèmes reconnus par la CIA et listés dans les documents en question.
Par exemple, Keystone, déguisé en une copie de svchost.exe, reste présent dans le répertoire C:\Windows\system32. Ceci pose souci si l’OS est installé sur une partition ou un emplacement différent. De son côté BadMFS est à l’origine de données stockées dans un fichier nommé zf. La victime peut dès lors le détecter. Enfin la stabilité n’est pas garantie et un crash potentiel de l’un des composants est source de détection.
Les documents ne sont pas datés, mais Angelfire a été conçu pour Windows 7 et Windows XP.
Nvidia introduit la notion de PCs IA Premium face à l’arrivée sur le marché des… Lire d'avantage
Corsair est à l’origine de nouveaux ventilateurs, les iCUE Link RX Series. Nous retrouvons des… Lire d'avantage
Test de l’iCUE LINK RX140 RGB 140mm PWM Starter Kit de Corsair, un duo de… Lire d'avantage
La vulnérabilité Zenbleed (CVE-2023-20593) a été classée par AMD comme une menace de niveau moyen.… Lire d'avantage
Asus continue de trouver de l’inspiration autour des GPU AMD RX 7900 series avec l’annonce… Lire d'avantage
Windows 11, Microsoft réactive l'option de restauration des fenêtres des dossiers ouvertes de l’Explorateur de… Lire d'avantage
Voir commentaires
Pas terrible le virus pour des agents de la CIA.
Bon c'est pas un scoop non plus, Seven est une vraie passoire, nos propres services de renseignement ont été surpris par la facilité d'intrusion sur cet OS.