Une équipe de hackers a publié cette semaine des fichiers provenant d’un des serveurs de la NSA, l’agence de renseignement américaine.

Petite histoire

Cette semaine, une équipe de hackers a posté sur Github des fichiers provenants d’un des serveurs de la NSA. Il semble que ce fameux serveur ai été utilisé pour contrôler une opération de piratage.
Le repository de Github a par la suite été supprimé, mais il est toujours possible de télécharger les fichiers en question sur Mega.nz.
Le groupe Shadow Brokers a publié une partie gratuitement, et a mit au enchères le reste, d’après eux, ils sont meilleurs que le fameux Stuxnet qui a été conçu par la NSA.
Si les enchères pour les fichiers dépassent les 1M de Bitcoins (~ 500M€) le groupe publiera encore plus de fichiers. Les outils de hackings regroupent différents scripts, fichiers de configurations et binaires ainsi que des executables pour Windows. La pluparts de ces fichiers visent les firewalls Cisco, WatchGuard mais aussi le chinois TOPSEC. J’ai pu jeter un coup d’oeil à ELBA (ELIGIBLEBACHELOR) qui est un exploit pour les systèmes d’exploitation TOS qui sont utilisés par des entreprises d’import/export, ferroviaires et les bureaux de douane.

Je suis en toujours en train de jeter un oeil à ces fameux outils, qui sont enormement complexes et dignes d’une agence aussi puissante que la NSA.

Pour plus d’infos sur cette histoire allez faire un tour sur l’article de Wired

Déchiffrer les fichiers

Je vais donc expliquer comment déchiffrer les fichiers (gratuits) avec GNU GPG

Pré-requis

  • Un ordinateur
  • Les dits fichiers
  • L’utilitaire GNU GPG

Sur les distribution comme Ubuntu ou Debian vous pouvez l’installer avec l’utilitaire de paquets APT $ apt-get install gpgv2

Bien sur la manipulation se passera sur le Terminal.

Dechiffrage

Vous avez donc téléchargé le dossier zippé sur Mega, ensuite dezipez-le :

$ unzip EQGRP-Auction-Files.zip 
Archive:  EQGRP-Auction-Files.zip
  inflating: eqgrp-auction-file.tar.xz.gpg  
  inflating: eqgrp-auction-file.tar.xz.gpg.sig  
  inflating: eqgrp-free-file.tar.xz.gpg  
  inflating: eqgrp-free-file.tar.xz.gpg.sig  
  inflating: public.key.asc          
  inflating: sha256sum.txt           
  inflating: sha256sum.txt.sig

Le fichier qui nous interesse est eqgrp-free-file.tar.xz.gpg, c’est la que sont stockés les scripts, exploits et autres fichiers qu’il faut dechiffrer.
Maintenant, faut lancer la commande suivante : gpg2 --decrypt --output eqgrp-free-file.tar.xz eqgrp-free-file.tar.xz.gpg
Cette commande va dechiffrer (–decrypt) le fichier et en sortie sera créé le fichier non-chiffré.
A ce moment précis, il va falloir entrer un mot de passe pour acceder au Graal.

On notera que eqgrp-free-file.tar.xz.gpg est chiffré avec un algorithme AES256.
Le mot de passe : theequationgroup.
Ce mot de passe correspondrait à une division qui de la NSA qui aurait ecrit les différents RATs et exploits.
Il ne vous reste plus qu’à désarchiver eqgrp-free-file.tar.xz : tar Jxvf eqgrp-free-file.tar.xz.
Vous avez maintenant accès aux exploits et scripts qui ont permis à la NSA de s’attaquer aux infrastructures des entreprises les plus importantes du monde :)

En esperant que ce post ai été utile. Si vous avez besoin d’infos contactez-moi sur Twitter : @matteyeux Github : https://github.com/matteyeux