Salam,
Après les premières études des données de piratage du groupe Equation, un nouveau malware Unix est découvert.
L’affaire a fait couler beaucoup d’encre il y a peu de temps. Le groupe Equation, proche de la NSA, se faisait pirater et voler des données par les pirates Shadow Brokers. Pour preuve, ce groupe a publié gratuitement 300 Mo de données dont quelques outils ainsi que des failles de sécurité. De nombreux chercheurs travaillent sur ces données. Parmi eux, Nick Beauschene, travaillant pour la société Vectra, a découvert un malware utilisant une technique nommée « post-exploitation shell ». NoPen était installé sur des systèmes afin d’y avoir un accès total.
Cet outil perfectionné permettait notamment des injections et des élévations de privilèges, en utilisant le protocole de chiffrement RC6. Il fonctionne sur de nombreuses architectures comme les i486, SPARC, x86_64 ou encore AMD64. Ce sont les systèmes Unix qui sont visés, dont Linux, FreeBSD, SunOS ou HP-UX. D’après le chercheur, il devrait être possible maintenant de le détecter.
Source: plus détaillé en anglais ici, http://blog.vectranetworks.com/blog/nopen-a-rat-with-benefits
Après les premières études des données de piratage du groupe Equation, un nouveau malware Unix est découvert.
L’affaire a fait couler beaucoup d’encre il y a peu de temps. Le groupe Equation, proche de la NSA, se faisait pirater et voler des données par les pirates Shadow Brokers. Pour preuve, ce groupe a publié gratuitement 300 Mo de données dont quelques outils ainsi que des failles de sécurité. De nombreux chercheurs travaillent sur ces données. Parmi eux, Nick Beauschene, travaillant pour la société Vectra, a découvert un malware utilisant une technique nommée « post-exploitation shell ». NoPen était installé sur des systèmes afin d’y avoir un accès total.
Cet outil perfectionné permettait notamment des injections et des élévations de privilèges, en utilisant le protocole de chiffrement RC6. Il fonctionne sur de nombreuses architectures comme les i486, SPARC, x86_64 ou encore AMD64. Ce sont les systèmes Unix qui sont visés, dont Linux, FreeBSD, SunOS ou HP-UX. D’après le chercheur, il devrait être possible maintenant de le détecter.
Source: plus détaillé en anglais ici, http://blog.vectranetworks.com/blog/nopen-a-rat-with-benefits