WikiLeaks poursuit la série de fuites de la CIA et a publié vendredi (7) des documents montrant comment Grasshopper, un outil utilisé par l’agence de renseignement pour créer son malware Windows. Le logiciel malveillant contient même des parties de code provenant d’un rootkit russe.
Les coordonnées de Grasshopper sont réparties dans 27 documents, dont certains font plus de 100 pages. L’un des manuels d’utilisation révèle qu’il était possible de créer un installateur personnalisé pour chaque personne surveillée, en fonction des informations que l’agence souhaitait recueillir et du logiciel de sécurité installé sur la machine.
Selon les documents, l’agence a effectué des tests pour savoir dans quelles conditions ses logiciels malveillants ont été détectés par les antivirus, notamment Kaspersky Internet Security, Symantec Endpoint, Rising et Microsoft Security Essentials. Grasshopper vous permettait de créer des logiciels malveillants qui n’agissaient que sur les systèmes dotés de fonctions antivirus spécifiques.
L’un des modes d’exécution profitait d’une fonction de mise à jour de Windows pour infecter le système : toutes les 22 heures (ou à chaque redémarrage), même si les mises à jour automatiques étaient désactivées, Windows chargeait un certain nombre de fichiers, dont des logiciels malveillants de type Grasshopper. Ce logiciel malveillant fonctionnait avec des autorisations système et exécutait un processus pour s’assurer qu’il restait sur la machine.
Pour créer la “méthode de persistance”, une technique qui permet de conserver les logiciels malveillants installés sur la machine, la CIA a pris des éléments d’un ancien rootkit. Selon l’agence elle-même, ?les composants ont été repris du malware connu sous le nom de Carberp, un rootkit russe utilisé par le crime organisé. Il s’agissait d’un puissant malware bancaire qui s’est vendu pour 40 000 euros au marché noir et dont le code source a fait l’objet d’une fuite en 2013.
Nous ne savons pas si la CIA utilise toujours les mêmes outils, mais la fuite pourrait être utile aux cibles potentielles de l’agence pour rechercher des traces de sauterelles dans leurs systèmes. Tous les documents sont disponibles sur le site Wikileaks.