Grasshopper: encore un nouveau logiciel d’espionnage utilisé par la CIA

Wikileaks a dévoilé un nouvel outil de la CIA, utilisé plusieurs années pour pirater les PC fonctionnant sous Windows. Une nouvelle arme qui montre les impressionnants moyens dont dispose l’agence gouvernementale pour pratiquer son sport préféré : l’espionnage.

Wkikileaks dévoile l'existence du programme Grasshopper de la CIA

Le site de Julian Assange continue sa série de révélations sur les outils utilisés par la CIA pour l’espionnage digital. Après avoir dévoilé, le mois dernier, les méthodes pour percer les défenses de l’iPhone et du MacBook, 27 nouveaux fichiers ont été mis en ligne concernant Grasshopper, une plateforme d’édition de logiciels malveillants de la CIA.

Grasshopper, une plateforme pour logiciels espions de la CIA

La nouvelle série de révélations présente Grasshopper avec une documentation complète. Ce nouvel outil redoutable de l’agence n’est pas un virus en soi, mais plutôt une plateforme dont on peut reprendre les modules pour créer un logiciel furtif. Le logiciel final sera adapté aux caractéristiques de l’ordinateur de la  cible et à un usage spécifique. Cela permet de diminuer la taille du logiciel, ce qui le rend plus discret et permet d’adapter les stratégies de contournement selon les défenses du PC à pirater.

Les documents exposés révèlent que le programme Grasshopper est particulièrement doué pour passer outre les logiciels antivirus les plus réputés comme Kapersky et Symantec ou même Windows Defender, le logiciel antivirus du géant Microsoft. Un des documents contient un tableau avec les résultats d’essais d’infection sans détection. Les ordinateurs testés fonctionnent sous Windows XP, Windows 7, 8.1 et Windows server 2003 et les résultats montrent un taux de détection très faible pour une majorité des tests. Grasshopper a donc été quasiment indétectable des années, malgré toutes les protections et il aurait été utilisé entre 2012 et 2015.

Un logiciel enraciné dans la machine

Installer un logiciel malveillant sur une machine sans être détecté est une première victoire, mais le rendre efficace sur le long terme malgré les mises à jour et nettoyages de l’utilisateur est un tout autre défi. Une partie des documents détaille un module particulier sous l’étiquette Stolen Goods ou « produits volés » en français. On y trouve Carberp, un célèbre cheval de Troie utilisé à l’origine par un groupement russe pour obtenir des données bancaires.

La CIA a donc repris son code source et modifié une majorité de ce code pour créer Grasshopper. A l’issu de ce développement, les variations de Grasshopper héritent de la capacité de Carberp de s’installer durablement dans la machine. Grasshopper rend ses logiciels capables d’utiliser différents moyens de se cacher au cœur du PC en modifiant par exemple les clefs de registre ou en parvenant à corrompre le planificateur de tâches. Le logiciel pourrait ainsi se réinstaller de façon autonome toutes les 22 heures.


Nos dernières vidéos

Répondre

Send this to a friend