Une équipe de hackers a publié cette semaine des fichiers provenant d’un des serveurs de la NSA, l’agence de renseignement américaine.
Petite histoire
Cette semaine, une équipe de hackers a posté sur Github des fichiers provenants d’un des serveurs de la NSA. Il semble que ce fameux serveur ai été utilisé pour contrôler une opération de piratage.
Le repository de Github a par la suite été supprimé, mais il est toujours possible de télécharger les fichiers en question sur Mega.nz.
Le groupe Shadow Brokers a publié une partie gratuitement, et a mit au enchères le reste, d’après eux, ils sont meilleurs que le fameux Stuxnet qui a été conçu par la NSA.
Si les enchères pour les fichiers dépassent les 1M de Bitcoins (~ 500M€) le groupe publiera encore plus de fichiers. Les outils de hackings regroupent différents scripts, fichiers de configurations et binaires ainsi que des executables pour Windows. La pluparts de ces fichiers visent les firewalls Cisco, WatchGuard mais aussi le chinois TOPSEC. J’ai pu jeter un coup d’oeil à ELBA
(ELIGIBLEBACHELOR) qui est un exploit pour les systèmes d’exploitation TOS qui sont utilisés par des entreprises d’import/export, ferroviaires et les bureaux de douane.
Je suis en toujours en train de jeter un oeil à ces fameux outils, qui sont enormement complexes et dignes d’une agence aussi puissante que la NSA.
Pour plus d’infos sur cette histoire allez faire un tour sur l’article de Wired
Déchiffrer les fichiers
Je vais donc expliquer comment déchiffrer les fichiers (gratuits) avec GNU GPG
Pré-requis
- Un ordinateur
- Les dits fichiers
- L’utilitaire GNU GPG
Sur les distribution comme Ubuntu ou Debian vous pouvez l’installer avec l’utilitaire de paquets APT $ apt-get install gpgv2
Bien sur la manipulation se passera sur le Terminal.
Dechiffrage
Vous avez donc téléchargé le dossier zippé sur Mega, ensuite dezipez-le :
1
2
3
4
5
6
7
8
9
$ unzip EQGRP-Auction-Files.zip
Archive: EQGRP-Auction-Files.zip
inflating: eqgrp-auction-file.tar.xz.gpg
inflating: eqgrp-auction-file.tar.xz.gpg.sig
inflating: eqgrp-free-file.tar.xz.gpg
inflating: eqgrp-free-file.tar.xz.gpg.sig
inflating: public.key.asc
inflating: sha256sum.txt
inflating: sha256sum.txt.sig
Le fichier qui nous interesse est eqgrp-free-file.tar.xz.gpg
, c’est la que sont stockés les scripts, exploits et autres fichiers qu’il faut dechiffrer.
Maintenant, faut lancer la commande suivante : gpg2 --decrypt --output eqgrp-free-file.tar.xz eqgrp-free-file.tar.xz.gpg
Cette commande va dechiffrer (–decrypt) le fichier et en sortie sera créé le fichier non-chiffré.
A ce moment précis, il va falloir entrer un mot de passe pour acceder au Graal.
On notera que eqgrp-free-file.tar.xz.gpg est chiffré avec un algorithme AES256.
Le mot de passe : theequationgroup
.
Ce mot de passe correspondrait à une division qui de la NSA qui aurait ecrit les différents RATs et exploits.
Il ne vous reste plus qu’à désarchiver eqgrp-free-file.tar.xz : tar Jxvf eqgrp-free-file.tar.xz
.
Vous avez maintenant accès aux exploits et scripts qui ont permis à la NSA de s’attaquer aux infrastructures des entreprises les plus importantes du monde :)
En esperant que ce post ai été utile. Si vous avez besoin d’infos contactez-moi sur Twitter : @matteyeux Github : https://github.com/matteyeux