WikiLeaks vient de publier de nouveaux documents concernant plusieurs outils d’infection utilisés par la CIA. Rassemblés sous le projet Angelfire, ils ciblent les ordinateurs sous Windows 7 ou Windows XP en s’attaquant au secteur de démarrage.
Dans le cadre de sa mission Vault 7, Wikileaks lève le voile sur un nouveau projet secret de la CIA. Nommé “Angelfire project”, il rassemble cinq outils de piratage afin de compromettre des systèmes sous Windows XP et Windows 7. Tous travaillent ensemble au travers d’une infection du secteur de démarrage de l’unité de stockage.
Solartime est un logiciel malveillant dont l’objectif est de modifier le secteur de démarrage afin d’exécuter un deuxième module nommé Wolfcreek. Ce dernier a pour fonction de permettre le chargement d’autres implants. Le troisième module, Keystone, est lié à Wolfcreek. Son rôle est de permettre un démarrage de logiciels malveillants sur les systèmes compromis. Tout ceci fonctionne de manière transparente. Aucun fichier système n’est modifié.
Enfin BadMFS est un système de fichiers cryptée et cachés à la fin de la partition active. Le cinquième élément est une alternative à BadMFS. Windows Transitory File system est présenté comme une nouvelle méthode d’installation d’AngelFire. Le processus utilise cette fois des fichiers temporaires.
Projet Angelfire, des problèmes connus
WikiLeaks souligne cependant que ces différents outils du projet Angelfire ne sont pas parfaits. Leurs actions et leurs présences sont détectables en raison de plusieurs problèmes reconnus par la CIA et listés dans les documents en question.
Par exemple, Keystone, déguisé en une copie de svchost.exe, reste présent dans le répertoire C:\Windows\system32. Ceci pose souci si l’OS est installé sur une partition ou un emplacement différent. De son côté BadMFS est à l’origine de données stockées dans un fichier nommé zf. La victime peut dès lors le détecter. Enfin la stabilité n’est pas garantie et un crash potentiel de l’un des composants est source de détection.
Les documents ne sont pas datés, mais Angelfire a été conçu pour Windows 7 et Windows XP.
Pas terrible le virus pour des agents de la CIA.
Bon c’est pas un scoop non plus, Seven est une vraie passoire, nos propres services de renseignement ont été surpris par la facilité d’intrusion sur cet OS.