/ SIGINT

GCHQ - partie 1 : JTRIG

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.


Une dystopie, également appelée contre-utopie, est un récit de fiction dépeignant une société imaginaire organisée de telle façon qu'elle empêche ses membres d'atteindre le bonheur. Une dystopie peut également être considérée comme une utopie qui vire au cauchemar et conduit donc à une contre-utopie.
Wikipedia - Dystopie

Nous allons parler dans cet article du JTRIG (pour Joint Threat Research Intelligence Group), qui est l'équivalent pour le GCHQ (les services de renseignement anglais) du département TAO de la NSA. La mission du JTRIG consiste entre autre à détruire ou à empêcher d'agir les ennemis en les discréditant via de fausses informations ou en empêchant leurs communications de fonctionner : Déni de Service (DoS) via appels ou sms, suppression de la présence en ligne d'une cible, changement de photos sur les réseaux sociaux (pour discréditer une cible ou augmenter drastiquement sa parano), captation des mails (par exemple pour apporter de la crédibilité lors de l'infiltration d'un groupe)... la liste est longue.

snowden-jtrig-slide

Le GCHQ possède un rayon d'action étendu, portant d'une cible individuelle à l'échelle d'un pays.

Sommaire

GCHQ vs Anonymous

Dans un article du 5 Février 2014, Mark Schone (NBC News) racontait comment le JTRIG lançait des DDoS contre les anonymous avec le programme ROLLING THUNDER (DDoS via P2P/syn flood selon le journal).

Le GCHQ était aussi présent sur des chans IRC Anons, ce qui lui a permis d'arrêter quelques personnes : Edward Pearson a.k.a GZero. Jake "Topiary" Davis (porte-parole du groupe Lulzsec), Mustafa “Tflow" Al-Bassam, aussi du groupe Lulzsec, ainsi que quelques autres.

Quelques infos supplémentaires sur les condamnations :

  • Edward "GZero" Pearson : condamné à l'âge de 23 ans à 26 mois pour le vol de "millions d'identitées et d'informations sur ~200 000 comptes Paypal", ils ont (sa copine et lui) payé des chambres d'hôtels et des factures téléphonique avec des CB volées.
  • Jake "Topiary" Davis (Lulzsec) : condamné à l'âge de 18 ans à 24 mois dans un centre de détention pour jeune (il est apparemment sorti au bout de 5 mois)
  • Mustafa “Tflow" Al-Bassam (Lulzsec) : condamné à l'âge de 16 ans à 500 heures de travail d'intérêt général et interdiction de se connecter à Internet pendant 2 ans
  • Ryan "Kayla" Ackroyd (Lulzsec) : condamné à 30 mois à l'âge de 26 ans.
  • Ryan Cleary (Lulzsec) : condamné à 32 mois à l'âge de 21 ans. Il a aussi plaidé coupable pour la détention d'images à caractères pédopornographiques

Lire aussi "LulzSec hackers handed down prison terms, suspended sentence in Britian" à propos de Ryan Ackroyd, Jake Davis, Mustafa Bassam et Ryan Cleary, ainsi que l'article Wikipedia à propos du reste de l'équipe.

  • GZero a sans aucun doute cherché les emmerdes : vol de comptes paypal, utilisation de CB volées, discussion en ligne avec un agent se faisant passer pour un Anon à propos d'attaques..., le blog garwarner.blogspot.fr raconte des choses très intéressantes : son compte SoundCloud aurait eu comme Userid GZero et comme nom "Edward Pearson". Selon la slide 7 de ce document, un whois sur un de ses liens échangés sur IRC aurait rapporté des informations... même pas sûr que le GCHQ ait eu à utiliser le programme PHOTON TORPEDO qui permet de récupérer l'adresse IP d'un utilisateur de MSN : oui... il avait aussi son adresse en clair sur un site, lié à son pseudo...

Un autre anon, p0ke, a cliqué sur un lien menant vers l'article de la BBC “Who loves the hacktivists" qu'un agent lui a envoyé. Je pense que vous devinez ce qui s'est passé, le GCHQ a été capable de récupérer l'adresse IP qu'il avait derrière son VPN.

Ça marche avec des liens (rappelez vous de QUANTUM et de FOXACID), mais ça marche aussi très bien avec des pièces jointes, comme avec un document Office : TRACER FIRE permet de récupérer des infos sur la machine ciblée, comme des fichiers ou des logs), TORNADO ALLEY fait plus ou moins la même chose sous la forme d'un document excel. Ou encore GURKHAS SWORD qui permet de faire remonter l'adresse IP de la cible. Le lien sur lequel il a cliqué était sans doute piégé, mais il existe une autre hypothèse : une surveillance passive des connexions à l'article via des programmes comme TEMPORA et ANTICRISIS GIRL et qui aurait pu permettre par ricochet de remonter à sa navigation, comme son compte Facebook, et ses adresses mails.

Pour la petite histoire, les Gurkhas sont des soldats/mercenaires Népalais que l'on trouve dans l'armée Britannique depuis ~200 ans, ils sont entre autre réputés pour leurs poignards, les Khukuri, ou kukri).

Ça aurait aussi pu venir de l'utilisation d'un programme comme, GLASS BACK (permet de récupérer l'adresse IP d'une cible en la spammant), ou tout simplement une requête en bonne et due forme au fournisseur du VPN en question (on en oublierait presque les bonnes vieilles méthodes).

Que font les terroristes déjà ? Des DDoS ?

Il est toujours agréable d'apprendre que le GCHQ sait très, très bien utiliser le déni de service sous toutes ses formes : DoS sur des serveurs web (PREDATORS FACE), sur les téléphone via call bombing (SCARLET EMPEROR), contre SSH (SILENT MOVIE) ou encore de manière silencieuse sur les téléphone satellites / GSM avec VIPERS TONGUE (par silencieux, on entend que la cible ne voit rien du DoS ; les messages n'arrivent pas réellement sur le périphérique mais bloquent les communications).

AMBASSADORS RECEPTION a été utilisé dans différentes situations : quand il est utilisé sur une machine cible, il se chiffre lui-même, efface tous les emails, chiffre tous les fichiers, fait trembler l'écran et empêche l'utilisateur de s'identifier. [STEALTH MOOSE](https://www.nsa-observer.net/STEALTH MOOSE) cible spécifiquement les machines Windows.

Une autre opération visant spécifiquement les Talibans en Afghanistan a consisté en une tempête de fax, d'appels et de SMS programmée pour arriver toutes les minutes sur les terminaux cibles.

CANNONBALL permet de spammer via SMS une cible, BURLESQUE permet d'envoyer des SMS modifiés et CONCRETE DONKEY permet l'envoi d'un message audio à de nombreux téléphones ou de "spammer" une cible avec le même message (on notera la référence à Worms Armageddon <3).

Spam

Et le GCHQ n'hésite pas à envoyer via les réseaux sociaux (Facebook, Twitter, Skype) le message "DDOS and hacking is illegal, please cease and desist" pour "dissuader" des activistes de participer à des DDoS. Une des slides indique que 80% des personnes à qui avait été envoyé le message n'étaient plus sur les chans IRC un mois après.

On parle ici de programme comme BADGER ou WARPATH qui permettent d'envoyer massivement (qui a dit spammer ?) du mail.

Pour information, MINIATURE HERO vise spécifiquement le logiciel Skype et permet de collecter et d'enregistrer des conversations (aussi bien skypeOut que en skype to skype), les messageries instantanées et les listes de contacts

Honey traps

ROYAL CONCIERGE exploite les réservations d'hôtels pour tracker les diplomates étrangers (et sans doute pas que les diplomates). Le GCHQ utilise ce programme pour essayer de mener les cibles vers des hôtels "SIGINT friendly" : plus facilement espionnables, aussi bien électroniquement que humainement.

La mise en place de honey traps fait aussi partie du catalogue du JTRIG, et il arrive qu'une opération soit mise en place pour leurrer une cible en lui faisant miroiter une possibilité de relation amoureuse et/ou sexuelle et ainsi l'amener à faire quelque chose (le BA.B.A des services de renseignement quoi...). C'est typiquement ce qui s'est passé en 1986 avec Mordechai Vanunu et l'agente du Mossad (le service de renseignement israéliens) Cheryl Bentov.

Le cas Julian Assange

Julian Assange, fondateur de Wikileaks est accusé de viol(s) (réellement de "sex by surprise") le 21 août 2010 par la justice suédoise qui lève l'avis de recherche quelques heures plus tard.

  • Le 18 novembre 2010, le parquet suédois relance un mandat d'arrêt contre lui.
  • Le 1er décembre 2010, La Suède autorise Interpol à rendre publique la notice rouge le concernant.
  • Il est arrêté le 7 décembre 2010 par la police britannique, puis est mis en liberté surveillée (avec bracelet électronique) une semaine après avec une caution de 282 000 €.
  • Depuis le 19 juin 2012 il est réfugié à l'ambassade d'Équateur où il a reçu l'asile politique.
  • Le 16 août 2012, Interpol indique que la notice rouge le concernant est toujours en vigueur.

La Suède a refusé de garantir qu'il ne serait pas extradé vers les USA s'il était présent sur le sol suédois pour répondre de ses actes. Elle a aussi refusé d'interroger Assange à l'ambassade ou à distance.

Pour plus de détails sur cette affaire, je vous conseille la lecture de l' article suivant :

The Guardian : 10 days in Sweden: the full allegations against Julian Assange (Miss A et Miss W)
Assange's defence team had so far been provided by prosecutors with only incomplete evidence, he said. "There are many more text and SMS messages from and to the complainants which have been shown by the assistant prosecutor to the Swedish defence lawyer, Bjorn Hurtig, which suggest motivations of malice and money in going to the police and to Espressen and raise the issue of political motivation behind the presentation of these complaints. He [Hurtig] has been precluded from making notes or copying them.
"We understand that both complainants admit to having initiated consensual sexual relations with Mr Assange. They do not complain of any physical injury. The first complainant did not make a complaint for six days (in which she hosted the respondent in her flat [actually her bed] and spoke in the warmest terms about him to her friends) until she discovered he had spent the night with the other complainant.

"The second complainant, too, failed to complain for several days until she found out about the first complainant: she claimed that after several acts of consensual sexual intercourse, she fell half asleep and thinks that he ejaculated without using a condom – a possibility about which she says they joked afterwards.

"Both complainants say they did not report him to the police for prosecution but only to require him to have an STD test. However, his Swedish lawyer has been shown evidence of their text messages which indicate that they were concerned to obtain money by going to a tabloid newspaper and were motivated by other matters including a desire for revenge."

Si seulement la Justice était toujours aussi prompte à agir contre les violeurs...

Réseaux sociaux

La propagande est à la Démocratie ce que la violence est aux dictatures.
Noam Chomsky

Et ça le GCHQ l'a trop bien compris, ils peuvent accroître artificiellement le trafic d'un site (GATEWAY), amplifier un message (= augmenter le nombre de vues et donc le référencement), comme une vidéo sur Youtube (GESTATOR), ou encore modifier un mur facebook aussi bien pour une seule personne que pour un pays entier (CLEANSWEEP).

Ils ont aussi bien la possibilité de modifier les photos d'utilisateurs sur les réseaux sociaux que d'envoyer des mails ou des sms à vos collègues ou à vos voisins à votre place, il est indiqué dans les leaks que ce type de méthode a aidé la police Britannique à "arrêter des criminels".

Donc, maintenant, si (par exemple) vous trompez votre conjoint-e et arrive le moment où vous vous trompez de destinataire lors de l'envoi d'un message, vous avez maintenant l'excuse "c'est une opération des services de renseignement anglais pour me discréditer !". Pas mal non ?

Quelques programmes bonus

  • BABYLON permet de faire une requête sur une adresse mail Yahoo ou Hotmail (à la date du document) pour savoir quand elle est utilisée ou non ce qui permet de savoir quand s'y connecter.
  • DANCING BEAR permet d'obtenir la localisation d'un point d'accès wifi.
  • HACIENDA permet de scanner une ville ou un pays entier
  • SWAMP DONKEY localise des types de fichiers prédéfinis et les chiffre.
  • DEEPSTALKER aide à la géolocalisation des téléphones satellites et des GSM en faisant un "appel silencieux" (invisible pour la cible).
  • SQUEAKY DOLPHIN permet une supervision en temps-réel des vues sur Youtube, des Likes, sur Facebook ou encore des visites sur Blogspot/Blogger. Ce qui permet de récupérer des informations pertinentes sur des tendances (slide 29 à 32), et donc potentiellement "prévoir" des événements (l'exemple dans les slides concerne les tags "14FEB", "Bahrain" et "March rally" le 13 février 2012, c'est à dire la veille du premier anniversaire du "day of rage" au Bahrein).

Pour finir

"*Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.*" [Article 12](http://www.un.org/fr/documents/udhr/#a12) de la déclaration universelle des droits de l'homme

Que pouvons nous faire ? La réponse est simple à écrire, mais plus difficile à mettre en oeuvre, il faut commencer par faire son modèle de menace, après ça, vous avez le choix : chiffrer, tout, tout le temps. Utiliser Tor, dont les hidden services le plus souvent possible. Mettre en place des machines virtuelles dédiées (par exemple KVM ou virtualbox --adminsys : SSH over Tor seulement par exemple, Navigation web), utiliser des logiciels libre (vous méritez de vous faire prendre sinon ;-)), SSL/TLS par défaut pour TOUT, OTR sur les messageries, ouvrir les liens que quelqu'un vous donne sur une machine distante (sans lien avec vous) ou sur une VM... etc etc.

Et évidemment, ne pas faire de conneries : toute la crypto du monde ne vous protégera jamais si vous faites des erreurs bêtes, comme permettre des passerelles entre votre pseudo et votre nom (comme une adresse email). Le fondateur de SilkRoard, William Ulbricht (aka Dread Pirate Robert's) peut en témoigner.

Quelques liens

Documents :

Articles :

Tag JTRIG (GCHQ) sur nsa-observer.net

AIRBAG - AIRWOLF - ALLIUMARCH - ANCESTRY - ANGRYPIRATE - ARSONSAM - ASTRALPROJECTION - AXLEGREASE - BABYLON - BADGER - BEARSCRAPE - BEARTRAP - BERRYTWISTER - BERRYTWISTER+ - BIRDSONG - BIRDSTRIKE - BOMBAYROLL - BOMBBAY - BRANDYSNAP - BUGSY - BUMBLEBEEDANCE - BUMPERCAR+ - BURLESQUE - BYSTANDER - CERBERUS - CERBERUSSTATISTICSCOLLECTION - CHANGELING - CHINESEFIRECRACKER - CLEANSWEEP - CLUMSYBEEKEEPER - CONCRETEDONKEY - CONDUIT - CONNONBALL - COUNTRYFILE - CRYOSTAT - CYBERCOMMANDCONSOLE - DANCINGBEAR - DEADPOOL - DEERSTALKER - DEVILSHANDSHAKE - DIALD - DIRTYEVIL - DOGHANDLER - DRAGON'SSHOUT - ELATE - EXCALIBUR - EXPOW - FATYAK - FORESTWARRIOR - FRUITBOWL - FUSEWIRE - GAMBIT - GATEWAY - GESTATOR - GLASSBACK - GLITTERBALL - GODFATHER - GOODFELLA - GURKHASSWORD - HACIENDA - HAVOK - HOMEPORTAL - HUSK - ICE - IMPERIALBARGE - INSPECTOR - JAZZFUSION - JAZZFUSION+ - JEDI - JILES - JTRIGRADIANTSPLENDOUR - LANDINGPARTY - LONGSHOT - LUMP - MINIATUREHERO - MIRAGE - MOBILEHOOVER - MOLTEN-MAGMA - MOUTH - MUSTANG - NAMEJACKER - NEVIS - NEWPIN - NIGHTCRAWLER - NUTALLERGY - OUTWARD - PHOTONTORPEDO - PISTRIX - PITBULL - PODRACE - POISONARROW - POISONEDDAGGER - PREDATORSFACE - PRIMATE - QUINCY - RANA - REAPER - RESERVOIR - ROLLINGTHUNDER - SCARLETEMPEROR - SCRAPHEAPCHALLENGE - SCREAMINGEAGLE - SEBACIUM - SEPENTSTONGUE - SFL - SHADOWCAT - SILENTMOVIE - SILVERBLADE - SILVERFOX - SILVERLORD - SILVERSPECTER - SKYSCRAPER - SLAMMER - SLIPSTREAM - SNOOPY - SODAWATER - SPACEROCKET - SPICEISLAND - SPRINGBISHOP - STEALTHMOOSE - SUNBLOCK - SWAMPDONKEY - SYLVESTER - TANGLEFOOT - TANNER - TECHNOVIKING - TOPHAT - TORNADOALLEY - TRACERFIRE - TWILIGHARROW - UNDERPASS - VIEWER - VIKINGPILLAGE - VIPERSTONGUE - WARPATH - WATCHTOWER - WINDFARM - WURLITZER

GCHQ - partie 1 : JTRIG
Share this