HBGary wanted to suppress Stuxnet research
Ce n’est pas un secret que ces derniers jours, les membres Anonymous ont publié publiquement un ensemble de mails internes de la HBGary Federal. Crowdleaks a découvert parmi ces échanges que Aaron Barr a reçu une copie de Stuxnet (un ver informatique qui cible les systèmes de contrôle industriel qui sont généralement utilisés dans les installations industrielles) de la part de McAfee le 28 juillet 2010.
Dans le but de confirmer qu’il s’agissait bien de Stuxnet, Crowdleaks a décompilé quelques codes sources qui peuvent être trouvés ici. Partout dans les mails qui suivent, il est révélé que la HBGary Federal avait pu planifier d’utiliser Stuxnet pour ses propres intérêts.
Dans un mail envoyé à tous les détenteurs d’un compte mail à HBGary.com, Charles Copeland (Ingénieur Support à HBGary, Inc.) écrit :
De : Charles Copeland
A : all@hbgary.com
Date : Samedi 25 septembre 2010 à 21h54
Sujet : Mailing Liste Ver Stuxnet
Filtrer les messages de cette mailing liste. mailed-byhbgary.com
Cacher les détails 25/09/10
Computerworld – Les dirigeants en Iran ont confirmé que le ver Stuxnet a infecté au moins 30 000 ordinateurs sous Windows dans le pays, rapportèrent de nombreux médias iraniens samedi.http://www.computerworld.com/s/article/9188018/Iran_confirms_massive_Stu…
J’ai déjà reçu un e-mail vendredi dernier demandant au sujet de Stuxnet. Quelqu’un a-t-il un injecteur, j’ai été incapable de le trouver.
[note du traducteur : injecteur (ou dropper en anglais)]
Dans un autre mail envoyé directement à Aaron Barr, David D. Merritt écrit :
De : David D. Merritt
A : Aaron Barr
Date : Dimanche 3 octobre 2010 à 21h35
Sujet : Re: Hunter Killer Insanity 285 mailed-bygmail.com
Cacher les détails 03/10/10
Des contacts à TSA disent que tout le monde a une copie… combinez cela avec le statut de vulnérabilité CERT des États-Unis et que leurs propres systèmes ne répondent pas aux spécifications…
Je vois TSA devenir un banc d’essai de logiciels malveillants …
[note du traducteur :
TSA : Transportation Security Administration
CERT : Computer Emergency Response Team]
Aaron Barr répond :
Le 3 octobre 2010 à 22h13, Aaron Barr écrit :
> Dave,
>
> Nous ne l’avons pas mais je serais intéressé d’en discuter avec vous. J’ai une bonne quantité d’informations sur Stuxnet et je serais intéressé d’en entendre parler. Certaines des choses que je sais sur Stuxnet pourraient être d’intérêt. Je pense qu’il serait préférable d’en discuter dans un lieu privé.
>
> En faisant des petites recherches :
> http://diocyde.wordpress.com/2010/03/12/ringy-ringy-beacon-callbacks-why…
>
> Même si ce gars peut être un peu cinglé parfois, son article relève plus de la vérité que de la fiction. Greg et moi avons réfléchi un peu dans le passé sur la manière de conduire une telle attaque qui serait très difficile à détecter. Des logiciels malveillants à but unique, autonomes et sans messages C&C (Command & Control). Comme nous l’avons dit, la bataille est à la fois au niveau de la source et de la destination, tout le reste est ou deviendra quelque chose de peu pertinent.
>
> Aaron Barr
> CEO
> HBGary Federal, LLC
> 719.510.8478
Dans un autre message envoyé par Greg Hoglund à tous les détenteurs d’un compte mail chez HBGary.com, il est clair que la HBGary voulait cacher ses travaux sur Stuxnet.
De : Greg Hoglund
A : all@hbgary.com
Date : Dimanche 26 septembre 2010 à 22h26
Sujet : mailing liste stuxnet
Filtrer les messages de cette mailing liste mailed-byhbgary.com
Cacher les détails 26/09/10
A tous,
HBGary n’a pas de position officielle à propos de Stuxnet. Ne parlez pas à la presse sur Stuxnet. Nous ne savons rien à propos de Stuxnet.
-Greg Hoglund
CEO, HBGary, Inc.
Dans les mails les plus inquiétants, nous trouvons que tout ce sur quoi travaillait HBGary était en lien avec la NSA.
Aaron Barr écrit :
Bonjour Cheryl,
719.510.8478
Aaron
Envoyé depuis mon iPad
Aaron Barr écrit :
> De : Aaron Barr
> A : Peace, Cheryl D
> Envoyé le : Lundi 9 août 2010 à 13:54:23
> Sujet : Re: Nombre
>
> Bonjour Cheryl,
>
> Oui cela m’évoque quelque chose. Je ne l’ai pas rencontré personnellement. Notre compagnie sœur travaille
> sur quelques projets dans le bâtiment. Et je suis dans l’équipe NANA
> Je l’ai récemment rejoint pour remettre debout la HBGary Federal, une compagnie apparentée
> mais séparée. Nous dirigeons les travaux qui demandent des autorisations.
> Nous échangeons quelques technologies mais nous avons des développements disjoints
> également. Principalement à propos du renseignement, des médias sociaux et des opérations sur réseaux.
>
> Je pense qu’il y a quelques technologies habilitantes pour votre mission mais j’ai
> vraiment besoin que vous soyez autorisée.
>
> Intéressé pour essayer un peu ce qui touche à Stuxnet avec vous également.
>
> Aaron
>
>
> Envoyé depuis mon iPhone
Cheryl Peace écrit :
Le 9 août 2010, à 9h27, “Peace, Cheryl D” écrit :
>
>> Aaron
>> J’ai fait une petite vérification et nous travaillons déjà avec vous. Le nom
>> Tony Seager vous évoque quelque chose ?
Aaron Barr écrit :
>> —–Original Message—–
>> De : Aaron Barr [mailto:aaron@hbgary.com]
>> Date : Vendredi 6 août 2010 à 10:56
>> A : Peace, Cheryl D
>> Sujet : Re : Nombre
>>
>> OK. Si vous êtes intéressée, avez-vous un peu de temps pour que l’on se rencontre à votre retour ?
>> Soit vendredi prochain ou bien la semaine qui suit ?
>> Aaron
Cheryl Peace écrit :
>> Le 6 août 2010, à 10:44, Peace, Cheryl D écrit :
>>
>> Je suis en Europe jusqu’à la moitié de la semaine prochaine
Aaron Barr écrit :
>>> —–Original Message—–
>>> De : Aaron Barr [mailto:aaron@hbgary.com]
>>> Date : Jeudi 5 août 2010 à 22:57
>>> A : Peace, Cheryl D
>>> Sujet : Re : Nombre
>>>
>>> Bonjour Cheryl,
>>>
>>> Pouvons-nous convenir d’un rendez-vous pour discuter
>>> quelques minutes ?
>>>
>>> Aaron
Cheryl Peace écrit :
>>> Le 30 juillet 2010 à 22:41, Peace, Cheryl D écrit :
>>>
>>>> Je suis au bar à Rao si vous voulez passer par là. Je rencontre
>>>> des amis pour un cocktail dans peu de temps
>>>> ————————–
>>>> Envoyé via mon BlackBerry
Arron Barr écrit :
>>>> —– Original Message —–
>>>> De : Aaron Barr
>>>> A : Peace, Cheryl D
>>>> Date : Vendredi 30 juillet 2010 à 20:02:44
>>>> Sujet : Nombre
>>>>
>>>> Cheryl,
>>>>
>>>> Désolé de te déranger mais auriez-vous une minute pour parler. Je n’ai pas
>>>> votre numéro de téléphone. Cela ne durera pas longtemps, mais j’ai des
>>>> informations pour vous.
>>>>
>>>> Aaron Barr
>>>> CEO
>>>> HBGary Federal
>>>> 7195108478
Dans un mail interne apparenté envoyé à Rich Cummings (Directeur de la Technologie de HBGary, Inc.), Greg Hoglund writes:
De : Greg Hoglund
A : Rich Cummings
Date : Lundi 16 novembre 2009 à 21:30
Sujet : Injecteur du gouvernement dans ce document Word, compressé pour youmailed-byhbgary.com
Cacher les détails 16/11/09Phil, Rich,
J’ai eu ce document Word sur un site destiné à Al Qaeda. Je pense qu’il y a un virus américain planqué à l’intérieur. Il serait inspiré de l’identifier et de voir de quoi il s’agit. NE L’OUVREZ PAS en dehors d’une machine virtuelle bien entendu. Le mot de passe est meatflower. Enlevez aussi l’extension .txt. NE LE LAISSEZ PAS trainer à moins que vous vouliez voir des mecs habillés en noir vous rentrer dedans
-Greg
Crowdleaks.org a contacté un ingénieur du génie logiciel (dont le nom est maintenu secret) pour regarder le code binaire de Stuxnet à l’intérieur d’un débogueur, et donner quelques aperçus du ver. Il nous a informé que les sources du ver utilisaient un code similaire à ce est déjà disponible publiquement. Il remarqua que la seule chose intéressante était les « 4 windows 0 days » et les certificats volés
Il dit :
“Un hacker n’a pas écrit cela, il apparait que c’est quelque chose qui aurait été produit par une équipe suivant un processus, tous les composants ont été créé en utilisant un code similaire à ce qui est déjà disponible publiquement. Cela revient à dire que c’est « banal ». Cela a été créé par une équipe de développement logiciel et pourtant, même si les programmeurs étaient des professionnels, je ne suis pas vraiment impressionné par le résultat final, cela ressemble à une peinture d’enfant peinte avec les doigts.”
Quand on l’interrogea sur le type d’organisation probablement à l’origine, il déclara :
“Probablement une société suite à la demande d’un gouvernement, cela a clairement été testé et assemblé par des professionnels. Cela ressemble vraiment à du travail en externalisation. »
Cet article a été traduit de l’anglais par Pierre Villard.
[...] Server gedost, sondern bringen mittlerweile sogar relevante Informationen zu Tage: Link 1 Link 2 Ob man die DDOS Attacken nun als gerechtfertigten zivilen Ungehorsam oder als kriminelle [...]
15.01.2011:
« Israeli Test on Worm Called Crucial in Iran Nuclear Delay »:
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html
“To check out the worm, you have to know the machines,” said an American expert on nuclear intelligence. “The reason the worm has been effective is that the Israelis tried it out.” [at the Dimona complex in the Negev desert, which is reported in the article to be "famous as the heavily guarded heart of Israel’s never-acknowledged nuclear arms program"]
…
“It’s like a playbook,” said Ralph Langner, an independent computer security expert in Hamburg, Germany, who was among the first to decode Stuxnet. “Anyone who looks at it carefully can build something like it.” Mr. Langner is among the experts who expressed fear that the attack had legitimized a new form of industrial warfare, one to which the United States is also highly vulnerable. »
Officially, neither American nor Israeli officials will even utter the name of the malicious computer program, much less describe any role in designing it.
…
But Israeli officials grin widely when asked about its effects. Mr. Obama’s chief strategist for combating weapons of mass destruction, Gary Samore, sidestepped a Stuxnet question at a recent conference about Iran, but added with a smile: “I’m glad to hear they are having troubles with their centrifuge machines, and the U.S. and its allies are doing everything we can to make it more complicated.” … »
This article makes no mention of a few important emails,
This email shows Cheryl from NSA asking if she can get an advance copy of a article being written on Stuxnet Krebs (http://krebsonsecurity.com/) and Aaron saying that he thinks he can get an advance copy.
http://hbgary.anonleaks.ru/aaron_hbgary_com/910.html
It doesn’t sound like an advance copy was acquired, in this email Aaron asks Greg if he’ll be able to get an advanced copy and Greg replies that he doesn’t think it would be ‘wise’ to ask for one.
http://hbgary.anonleaks.ru/aaron_hbgary_com/11038.html
Obviously this suggests the NSA has an interest in knowing what the investigative progress on Stuxnet is by Security community before it is published to the public.
[...] variety of Stuxnet is on GitHub. Crowdleaks posted the code but it’s uncertain if its the actual source or that of code posted by an [...]
[...] confirm that the Magenta Rootkit proposal was even accepted but given HBGary’s involvement in Stuxnet research, it’s a chilling proposal that was likely taken seriously by HBgary INC. and probably not the [...]
[...] gefunden, die einem amerikanischen IT-Unternehmen entwendet worden waren, berichtet die Website Crowdleaks. Man habe Teile des Programms in eine lesbare Form überführt, um die Echtheit zu verifizieren. [...]
[...] gefunden, die einem amerikanischen IT-Unternehmen entwendet worden waren, berichtet die Website Crowdleaks. Man habe Teile des Programms in eine lesbare Form überführt, um die Echtheit zu verifizieren. [...]
[...] [...]
[...] of having access to Stuxnet code. More on the allegation here http://crowdleaks.org/hbgary-wanted-to-suppress-stuxnet-research/ and here via a UK National newspapers (The Guardian) [...]
[...] die Plattform Crowdleaks berichtet, habe das Sicherheitsunternehmen McAfee den HBGary-Unternehmenschef Aaron Barr per Mail [...]
[...] “Crowdleaks: HBGary wanted to suppress Stuxnet research” [...]
[...] even a cursory look at internal emails on attempts to develop an in-house version of Stuxnet (via Reddit) as well as the general panorama of the discussions that are available in [...]
Link to a .pdf-Doc about Stuxnet and comparison between Stuxnet and Aurora:
http://eset.ru/.company/.viruslab/analytics/doc/Stuxnet_Under_the_Microscope.pdf
[...] http://crowdleaks.org/hbgary-wanted-to-s… [...]
[...] anyways. but its interesting to see some of the information coming out of the HBgary fiasco.. Crowdleaks: HBGary wanted to suppress Stuxnet research looks like maybe some of the documents are deliberately uploaded to keep tabs on their readership. [...]
[...] had a copy of Stuxnet, the virus allegedly developed by U.S. and Israeli spy agencies to monkey wrench Iran's nuclear [...]
[...] HGBF had a copy of Stuxnet, the virus allegedly developed by US and Israeli spy agencies to monkey wrench Iran’s nuclear [...]
[...] against large companies, however, the broader private sector* also has a key role in preventing e-crime and computer security incidents and ensuring that appropriate risk management strategies are [...]
[...] HBGary wanted to suppress Stuxnet research (crowdleaks) [...]
[...] HBGary wanted to suppress Stuxnet research (crowdleaks) [...]
[...] Spionage-Programmen für Ermittlungen durch US-Behörden sowie für Privatkunden, u.a. auch Stuxnet. Der Angriff von Anonymous auf HBGary ist also als ein Akt der Selbstverteidigung zu [...]
[...] [...]
Facewoot.net est le meilleur panel pour pirater un compte facebook sans logiciel !
2011, 19th of Oct: « Small brother » of Stuxnet named «Duqu» is discovered in Europe by Symantec and Sophos: http://www.zeit.de/news/2011-10/19/computer-kleiner-bruder-von-stuxnet-in-europa-aufgetaucht-19153008
Duqu was found on 7 or 8 companies in EU, which are involved into the software-development for industrial usage, latest attack dated with 17th of Oct, teh first might have already started in December 2010.