(MAJ) Syrie : Ultrasurf, ou comment le gouvernement Syrien (ne) piège (pas) ses opposants avec un malware

remote term

Après l’Égypte ce matin, notre équipe s’est attaquée à la problématique syrienne. Nous avons cherché à comprendre comment le pouvoir de Bachar el Assad s’y prenait pour voler les comptes Facebook, Twitter, ou Gmail de ses opposants, et comment il parvient à les identifier pour les arrêter. Nous avons réussi à mettre en lumière l’un des procédés du gouvernement Syrien afin de piéger ses opposants.

C’est l’histoire banale d’un logiciel qui fait le contraire de ce qu’il prétend faire. Ultrasurf est un logiciel proxy qui a été très utilisé par les dissidents syriens. Le fonctionnement attendu, à savoir une dissimulation de l’identité de ses utilisateurs semblait opérante. Mais en réalité, ce logiciel installait l’arsenal permettant aux forces de sécurité syriennes d’identifier précisément ses utilisateurs et de les surveiller étroitement. Cette version vérolée d’Ultrasurf a énormément circulé par email, l’origine de sa propagation serait donc un bête social engineering, par mail ou sur Facebook.

Mais voilà, la version qui a été largement diffusée en Syrie contenait un petit paquet cadeau. Renommé avec une extension .jpg soi disant pour échapper à la censure, le fichier infectait la machine des opposants avec un trojan identifié comme Trojan.Backdoor.Hupigon5 (Sig-Id: 41437250) par le scanner IKARUS. Veuillez trouver l’analyse complète ici (format txt).

Vous trouverez également le dump pcap de l’activité réseau de ce logiciel ici (à ouvrir avec Wireshark).

Le comportement semble relativement élaboré : redirection du 80 vers le ssl, encapsulation des données dans un tunnel et surtout, une modification en base de registre de tous les certificats SSL. Ainsi les utilisateurs pensent leur session sécurisée, ils offrent en fait à des tiers tous leurs mots de passe.

modif certificats ssl

Cette affaire nous a été remontée par une journaliste ayant exercé en Syrie et en Égypte. Ce logiciel n’était jusque là que soupçonné de manière plus ou moins lointaine, Reflets a donc simplement mis en évidence sa probable responsabilité dans l’arrestation de nombreux dissidents. Il est donc important que ce logiciel, qui était diffusé sous les noms de U89 ou U1010.jpg (à renommer en exe) ne soit plus installé par les Syriens.

Tunisiens, égyptiens, libyens, syriens… que tous les peuples qui se sont soulevés et dont les dissidents ont obtenu des logiciels sensés masquer leur identité par mail ou des sources non sures (à savoir autrement qu’en les téléchargeant sur les sites officiels), désinstallent ces logiciels et inspectent leur machine. Nous vous recommandons l’utilisation de plusieurs antivirus en ligne pour effectuer une examen approfondi. Si votre compte Facebook ou Gmail a été piraté, il se peut que ce soit par le même genre de procédés et que votre machine soit encore infectée.

L’été dernier, la vague de piratage de comptes Facebook en Tunisie pourrait trouver une partie de son explication par la méthode que nous venons de vous expliquer ici.

Greets  halona, fo0 & Julie

Edit 2 : Nous avons étudié le logiciel distribué sur le site officiel de l’éditeur d’Ultrasurf. Il est également porteur d’un code malveillant. Cette découverte, conjuguée à la nature et à l’origine des serveurs avec lesquels il communique nous fait nous poser quelques questions sur ce logiciel et nous doutons aujourd’hui que l’inoculation de ce code malveillant ait pour origine les services syriens. Plusieurs thèses sont possibles.

1° Ultrareach, la société d’origine américaine qui édite ce logiciel diffuse volontairement ce soft vérolé comme un moyen de collecte d’information extérieur. Dans le plus extrême des scénario, Ultrareach serait donc un faux nez d’une agence gouvernementale américaine.

2° Ultrareach est une entreprise malhonnête qui cherche à piller ses utilisateurs

3° La version étudiée émanant du site contient une variante très récente de Themida (détectée par Nod32) et Trojan.DownLoader3.12161(détecté par DrWeb). Les versions précédentes contiennent d’autres malware, Ultrareach maintient donc, semble t-il, le code malveillant, et l’améliore. Le hic, c’est que nous avons trouvé des traces de l’entreprise qui l’édite dans un rapport du congrès américain… et que toutes les informations sur la domiciliation de l’entreprise, son dirigeant (seule et unique identité en rapport avec ultrareach)… n’existent pas. Pourtant le document du Congrès américain évoque des financements débloqués et cite cette « entreprise ».

Actuellement, nous ne nous expliquons pas le choix fait, à savoir, modifier les certificats SSL, action permettant, accompagnée d’un phishing de récupérer les informations d’identification des utilisateurs. Quel intérêt pourrait avoir une société américaine dépendant d’une agence de renseignement dans une telle manipulation alors qu’il lui suffit d’obtenir les certificats originaux des Facebook, Gmails etc… en invoquant le Patriot Act ?

Edit 1 : suite à certains commentaires sur cet article, nous insistons sur le fait que ce dernier décrit un mécanisme permettant de voler des identifiants de sessions normalement sécurisées par SSL. Ceci implique d’autres moyens qu’une simple capture de trafic avec certains équipements adaptés.

Twitter Facebook Google Plus email

31 thoughts on “(MAJ) Syrie : Ultrasurf, ou comment le gouvernement Syrien (ne) piège (pas) ses opposants avec un malware”

  1. Malheureusement, ce n’est VRAIMENT pas comme ça que le tout c’est passé. Même si cela à circulé, pendant jours en nuisant pas mal (surtout au niveau des moins experimenté des activiste), ce n’est pas ce qui a aidé les rafles.

    Tout est bien plus simple pour l’identification. Une grosse partie du traffic est simplement loggé. Ensuite un travaille de profilage (ultra simple en Syrie, on nait avec un dossier des Mukhabarat dans les mains). En parallèle, ce qui est le plus répendu pour échapper au filtrage c’est principalement des proxy ou des VPN, voir mieux, des connexions satellites…

    J’ai pas mal travaillé et je travail toujours d’ailleurs à la protection des activist dans le monde arabe, si vous chercher plus d’info sur le sujet, mailez moi, je pense pouvoir vous orienter :)

    1. Hello, merci de votre retour, mais je pense que nous ne parlons pas de la même chose. Loguer du trafic ssl ne sert pas à grand chose. Ce que vous nous exposez ici comme procédé n’explique en rien le piratage des comptes Facebook ou gmail, or celle ci l’explique parfaitement.
      Et il est évident que cette méthode n’est pas la seule utilisée, nous aurons le temps d’y revenir bientôt vu que la France a surement vendu les outils permettant d’intercepter le trafic comme vous y faites référence.

  2. « Les méthodes de voyous utilisées par le régime de Barchar El Assad sont tout à fait révoltantes. »

    Révoltantes, non. De bonne guerre, oui.

    « Les fondateurs de Reflets.info estiment au contraire qu’une plus grande part doit être donnée aux contenus, à la réflexion, à l’analyse, à l’opinion, à la prospective.

    Notre ambition est de rendre sa valeur à l’information. Nous voulons l’analyser, la mettre en perspective, la remettre dans un contexte et pouvoir faire de la prospective. » (citation du lien « À propos » )

    Mon Cul ! Ceci est un blog d’opinion comme il y en a des milliers (approximations grammaticales comprises). Sans rien ôter à l’aspect hacker qui, lui, est bien réel (et lu pour ça, l’opinion est non pertinente et dégoulinante comme les médias mainstream, je trouve). Faut juste pas faire semblant de faire le journaleux alternatif (quelle idée !) dans la profession de foi.

    de la part d’un sympathisant nerd & libertaire (quoi que mon commentaire puisse t’inspirer)…

    1. Je ne comprends pas grand chose à l’informatique. Mais n’est-il pas aussi voyou d’utiliser un matériel de diffusion de masse qui dissimule l’identité de ses utilisateurs, mais aussi l’ORIGINE de sa diffusion, que d’utiliser un matériel permettant de mettre à jour toutes ces connexions censées restées occultes? Ainsi le matériel qui favorise l’opposition souterrainne serait un «bienware», et le matériel obligeant tous les protagonistes à sortir de l’ombre et à se battre courageusement à visage découvert serait un «malware».

      Conception bushienne à l’évidence.

      1. Gné ?
        Quand vous vous baladez dans la rue vous avez votre nom marqué sur le front, un brassard indiquant votre religion et le nom de vos parents et enfants tatoués sur le dos ?

        Vous savez dans votre pays, la France vend beaucoup de routeurs de service (des 7750 d’alcatel)… si vous lisez Michael Geist de temps en temps vous comprendrez :

        – pourquoi le maquis est nécessaire
        – pourquoi l’utilisation offensive de logiciels d’intrusion contre sa propre population est néfaste..

        Ou pas, peut-être que vous vous en fichez après tout et que vous trouvez ça normal, ce n’est pas mon cas… Mais voilà, si j’étais égyptien, Tunisie, ou peut être Syrien, je serai surement l’anonyme couard décrit dans votre commentaire. Pour gagner une guerre, la première des règles, c’est de rester vivant.

  3. Intéressant, mais cela ne me conforte que plus que l’utilisation d’un windows quand on est révolutionnaire, c’est vraiment pourri.
    Alors oui, ça dépend de l’utilisateur, il y a aussi des failles dans d’autres noyaux et logiciels, mais on peut y monter une base solide sans trop prendre de risque, et j’attend de voir un truc exécuté en simple user qui change mes certifs’ ssl, avec une distrib comme Archlinux, avec le dernier noyau stable.
    C’est aussi interdit les systèmes libres en Syrie ?
    Bon sinon, c’est bien moche, ça me rappelle quelques anciens/nouveaux papers sur la DPI, mais en un peu plus loin, et en un peu plus désastreux sur le plan humain.
    Question: Je peux y faire quoi ?

    1. Le révolutionaire, le blogueur, l’activiste, ça peut être monsieur tout le monde. Idem pour les journalistes sur place. On n’est en rien préparés à ce genre de « situation en ligne » puisqu’on ne sait même pas que cela existe !
      En Syrie, j’ai croisé pas mal de monte qui utilisait qqch qui s’appelle « tor » comme proxy sur des accès privés. Mais quand tu vas en cyber, tu prends ce qu’il y a (et tu donnes ton numéro de passeport au passsage) et c’est là que ça fait mal.

  4. @syriens: I2P vous permet d’accéder au Web de façon anonymes et sécurisé. La seule contrainte est d’être toujours en HTTPS sinon le dernier proxy de votre I2PTunnel pourra « voir » votre connexion.

    1. @ Reventlov,

      Ce test sert uniquement à démontrer un profilage possible. Et encore, c’est très discutable. D’accord, avec toutes les infos qu’envoie le navigateur, il est possible de déterminer un profil « unique », mais mettez votre navigateur à jour et vous n’avez plus le même profil; mettez votre version de flash, java, etc à jour et vous n’avez plus le même profil.
      Bref, que pensez un site qui voit le même profil avec deux ips différentes : la même personne avec une ip différente ou deux personnes différentes avec le même type de navigateur et les mêmes réglages ?
      Le test de panoptick permet donc de profiler, mais pas d’identifier, et la nuance est importance.
      Pour ceux qui ont vraiment besoin de rester anonyme : torbrowser + si ça peut rassurer, utiliser un autre navigateur complètement différent pour la navigation « normale ».

      1. Cela ne donne ni un nom, ni une adresse, mais permet de tracer un utilisateur sur différents sites. Et si l’un des sites est un réseau social, ou autre, le nom, on le trouve.
        J’avais déjà du le dire, mais un seul truc comme ça ne sert àrien. Mais une multitude de trucs comme ça, par exemple lors d’un travail de forensics, ça permet de trouver pas mal de choses.
        Pour un particulier, ça sert à rien, et c’est difficile à faire. Pour un état, comme la syrie, dans l’actu, ça permet de trouver un adversaire politique par exemple.

        1. Pour que ce soit efficace il faudrait quand même que :
          – la multitude de sites visités utilise cette méthode de profilage, et loggue toutes ces infos
          – que le gouvernement puisse y avoir accès à ces infos sur tous ces sites. Difficile si les sites sont hors de la juridiction.

          Quoi qu’il en soit, l’utilisation de Tor Browser sans Java, ni Flash (ce qui va de soi quand on utilise Tor) ni javascript, ni cookies, ça permet déjà d’avoir une « empreinte » beaucoup moins unique.

  5. Passionnant article. Une remarque concernant le rapport du Congrès US : pourquoi privilégier la thèse d’un faux-nez américain (quel intérêt, d’ailleurs ?) et ne pas envisager celle d’un faux-nez syrien – ou iranien ? Le régime de Téhéran est non seulement très bien doté en services de renseignement mais aussi étroitement lié à Damas, avec lequel il soutient le Hamas et le Hezbollah. Je ne suis pas informaticien, mais mon expérience me ferait chercher du côté du « à qui profite le crime ? » Le Ministère du Renseignement iranien dispose d’une large palette de sociétés écrans et d’agents capables de se procurer ce genre de logiciel en toute légalité.

    1. Bonsoir, je n’ai pas d’éléments qui me permettent d’affirmer que ce logiciel est autre chose qu’américain, ce document du congrès US : http://reflets.info/wp-content/uploads/2011/06/S-Prt-Another-US-Deficit-China-and-America-Public-Diplomacy-in-the-Age-of-the-Internet-03042011.pdf semble confirmer qu’il est bien américain, mais ce que j’ai du mal à confirmer, c’est que la société existe bien. Ensuite il n’est pas exclu que ce soft soit le produit d’une collaboration entre différents services extérieurs. La volumétrie d’utilisation est importante, et le soft est gratuit. Pourtant le réseau en mode non peer to peer, ça a un coût. J’en déduis qu’il y a bien une curiosité là dessous.

      1. Ce que je voulais dire, c’est que ce logiciel est très certainement américain, voire même qu’il a bénéficié de commandes de l’Administration US, mais il parfaitement pu être, soit vendu discrètement par l’entreprise sans que les autorités américaines soient prévenues, soit acheté par les SR syriens ou iraniens via des intermédiaires. Quand on sait avec quelle habileté l’Iran ou le Pakistan ont pu se procurer secrètement du matériel pour leurs programmes nucléaires, l’achat d’un logiciel ne pose pas de problèmes insurmontables.

      2. Oui vu sous cet angle, c’est une hypothèse qui semble parfaitement plausible. Vendu ou fuité.

        Je pencherai même pour « fuité » vu qu’il y a des traces qui nous laissent à penser que d’autres gouvernements ont utilisé des procédés similaires. Aujourd’hui, nous soupçonnons même une utilisation de ce soft dans l’opération Aurora qui visait Gmail en Chine.

        Autre chose, nous n’arrivons pas à mettre en évidence un mécanisme similaire sur le logiciel Freegate qui lui aussi attire notre attention et semble disposer des mêmes faveurs de l’administration américaine qu’Ultrasurf.

        Plus nous avançons, plus nous avons de questions qui émergent.

  6. Vous allez pas un peu vite en besogne?

    Themida est utilisé pour empêcher l’analyse de binaire. les développeurs de virus vont évidemment faire usage de cet outil mais de la à dire que Themida est un virus c’est une extension un peu rapide. Non?

    1. c’est loinb d’être le seul élément que nous avons, ok pour themida, c’est probable, nous ne sommes pas des experts windows et j’ai bêtement tendance à croire ce que me dit un antivirus heuristique… mais voilà :
      http://janusvm.com/Ultrasurf_audit.zip
      http://reflets.info/wp-content/uploads/2011/06/S-Prt-Another-US-Deficit-China-and-America-Public-Diplomacy-in-the-Age-of-the-Internet-03042011.pdf
      http://reflets.info/qui-es-tu-ultrareach/

  7. Ce que vous dites sur Ultrasurf ne m »étonne guère. J’évite tous les programmes commerciaux de ce type car systématiquement vérolés par la NSA. Concernant Tor, Il y’a 3 ans le BKA allemand a démantelé un réseau de pédophiles qui utilisait Tor pour ses petites affaires et, on en revient au noeud fondamental: »qu’avons nous à cacher? »L’utilisation de logiciels « furtifs » est parfaitement justifiée sous des dictatures et ici en Europe, je crois qu’il convient aussi de faire très attention vu les dérives liberticides en cours mais, malheureusement, vous aurez toujours des gros cons pour pervertir des instruments de liberté…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *