Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Ultrasurf, ou comment le gouvernement Syrien (ne) piège (pas) ses opposants avec un malware

Après l'Égypte ce matin, notre équipe s'est attaquée à la problématique syrienne. Nous avons cherché à comprendre comment le pouvoir de Bachar el Assad s'y prenait pour voler les comptes Facebook, Twitter, ou Gmail de ses opposants, et comment il parvient à les identifier pour les arrêter. Nous avons réussi à mettre en lumière l'un des procédés du gouvernement Syrien afin de piéger ses opposants. C'est l'histoire banale d'un logiciel qui fait le contraire de ce qu'il prétend faire.

Après l'Égypte ce matin, notre équipe s'est attaquée à la problématique syrienne. Nous avons cherché à comprendre comment le pouvoir de Bachar el Assad s'y prenait pour voler les comptes Facebook, Twitter, ou Gmail de ses opposants, et comment il parvient à les identifier pour les arrêter. Nous avons réussi à mettre en lumière l'un des procédés du gouvernement Syrien afin de piéger ses opposants.

C'est l'histoire banale d'un logiciel qui fait le contraire de ce qu'il prétend faire. Ultrasurf est un logiciel proxy qui a été très utilisé par les dissidents syriens. Le fonctionnement attendu, à savoir une dissimulation de l'identité de ses utilisateurs semblait opérante. Mais en réalité, ce logiciel installait l'arsenal permettant aux forces de sécurité syriennes d'identifier précisément ses utilisateurs et de les surveiller étroitement. Cette version vérolée d'Ultrasurf a énormément circulé par email, l'origine de sa propagation serait donc un bête social engineering, par mail ou sur Facebook.

Mais voilà, la version qui a été largement diffusée en Syrie contenait un petit paquet cadeau. Renommé avec une extension .jpg soi disant pour échapper à la censure, le fichier infectait la machine des opposants avec un trojan identifié comme Trojan.Backdoor.Hupigon5 (Sig-Id: 41437250) par le scanner IKARUS. Veuillez trouver l'analyse complète ici (format txt).

Vous trouverez également le dump pcap de l'activité réseau de ce logiciel ici (à ouvrir avec Wireshark).

Le comportement semble relativement élaboré : redirection du 80 vers le ssl, encapsulation des données dans un tunnel et surtout, une modification en base de registre de tous les certificats SSL. Ainsi les utilisateurs pensent leur session sécurisée, ils offrent en fait à des tiers tous leurs mots de passe.

Cette affaire nous a été remontée par une journaliste ayant exercé en Syrie et en Égypte. Ce logiciel n'était jusque là que soupçonné de manière plus ou moins lointaine, Reflets a donc simplement mis en évidence sa probable responsabilité dans l'arrestation de nombreux dissidents. Il est donc important que ce logiciel, qui était diffusé sous les noms de U89 ou U1010.jpg (à renommer en exe) ne soit plus installé par les Syriens.

Tunisiens, égyptiens, libyens, syriens... que tous les peuples qui se sont soulevés et dont les dissidents ont obtenu des logiciels sensés masquer leur identité par mail ou des sources non sures (à savoir autrement qu'en les téléchargeant sur les sites officiels), désinstallent ces logiciels et inspectent leur machine. Nous vous recommandons l'utilisation de plusieurs antivirus en ligne pour effectuer une examen approfondi. Si votre compte Facebook ou Gmail a été piraté, il se peut que ce soit par le même genre de procédés et que votre machine soit encore infectée.

L'été dernier, la vague de piratage de comptes Facebook en Tunisie pourrait trouver une partie de son explication par la méthode que nous venons de vous expliquer ici.

Greets  halona, fo0 & Julie

Edit 2 : Nous avons étudié le logiciel distribué sur le site officiel de l'éditeur d'Ultrasurf. Il est également porteur d'un code malveillant. Cette découverte, conjuguée à la nature et à l'origine des serveurs avec lesquels il communique nous fait nous poser quelques questions sur ce logiciel et nous doutons aujourd'hui que l'inoculation de ce code malveillant ait pour origine les services syriens. Plusieurs thèses sont possibles.

1° Ultrareach, la société d'origine américaine qui édite ce logiciel diffuse volontairement ce soft vérolé comme un moyen de collecte d'information extérieur. Dans le plus extrême des scénario, Ultrareach serait donc un faux nez d'une agence gouvernementale américaine.

2° Ultrareach est une entreprise malhonnête qui cherche à piller ses utilisateurs

3° La version étudiée émanant du site contient une variante très récente de Themida (détectée par Nod32) et Trojan.DownLoader3.12161(détecté par DrWeb). Les versions précédentes contiennent d'autres malware, Ultrareach maintient donc, semble t-il, le code malveillant, et l'améliore. Le hic, c'est que nous avons trouvé des traces de l'entreprise qui l'édite dans un rapport du congrès américain... et que toutes les informations sur la domiciliation de l'entreprise, son dirigeant (seule et unique identité en rapport avec ultrareach)... n'existent pas. Pourtant le document du Congrès américain évoque des financements débloqués et cite cette "entreprise".

Actuellement, nous ne nous expliquons pas le choix fait, à savoir, modifier les certificats SSL, action permettant, accompagnée d'un phishing de récupérer les informations d'identification des utilisateurs. Quel intérêt pourrait avoir une société américaine dépendant d'une agence de renseignement dans une telle manipulation alors qu'il lui suffit d'obtenir les certificats originaux des Facebook, Gmails etc... en invoquant le Patriot Act ?

Edit 1 : suite à certains commentaires sur cet article, nous insistons sur le fait que ce dernier décrit un mécanisme permettant de voler des identifiants de sessions normalement sécurisées par SSL. Ceci implique d'autres moyens qu'une simple capture de trafic avec certains équipements adaptés.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée