Wikileaks continue paisiblement ses publications tirées des serveurs de la CIA et détaillait vendredi dernier les caractéristiques de Marble Framework, un outil interne de la CIA utilisé pour dissimuler l’origine des malwares. Cette nouvelle publication est constituée de 676 codes sources appartenant à différents outils rassemblés au sein du framework Marble.
Comme l’explique Wikileaks, ces différentes applications maison ont été développées par les équipes de la CIA afin de compliquer la tâche des investigateurs et autres sociétés de cybersécurité qui pourraient être amenés à investiguer des cas de machines infectées par les malwares de l’agence de renseignement.
Les slides de présentations qui accompagnent les outils détaillent le fonctionnement interne et le jargon de la CIA pour l’utilisation de ces outils. On apprendra ainsi que les agents de la CIA font la différence entre les « Marbles », qui désignent les différents algorithmes utilisés pour brouiller les données, et le « Mibster », l’utilitaire qui s’appuie sur ces mêmes algorithmes pour analyser et modifier le code source d’un malware. Prévoyants, les agents de la CIA ont également mis au point un autre outil baptisé Mender, qui permet de récupérer le code source original après les modifications apportées par les algorithmes de dissimulation.
L’attribution des attaques informatiques est un art complexe : pour y parvenir, les autorités et sociétés de cybersécurité se basent fréquemment sur des indices laissés par les développeurs des malwares au sein du code. Commentaires, références et noms de fonctions, ou encore les heures et date de compilation du code, autant d’indices qui permettent parfois aux équipes d’analystes de donner une origine possible du malware. Mais les chercheurs prennent généralement de nombreuses précautions avec ces informations, car il est évidemment possible pour un développeur de malware de modifier celles-ci.
C’est précisément le rôle de Marble Framework, qui est utilisé par les services de la CIA pour insérer par exemple des commentaires au sein du code dans une langue étrangère, ainsi que des techniques visant à faire croire que les développeurs du malware ont tenté de faire disparaître ces mêmes traces. Un outil de haute volée visant à brouiller les pistes donc, et qui permet de faire passer un malware pour ce qu’il n’est pas en rejetant la faute sur un autre pays en cas de détection.
