Le code source du cheval de Troie Peskyspy publié sous licence GPL pour les écoutes Skype

Par Xavier Poli, secuobs.com
Le 29/08/2009

---

Résumé : Le code source du cheval de Troie Peskyspy pour Skype vient d'être publié sous licence GPL, il permet d'enregistrer les conversations Skype vers des fichiers MP3 qui seront chiffrés avant d'être transférés vers un serveur distant pour écoute. - Lire l'article



Ruben Unteregger vient de publier le code source, sous licence GPL, d'un cheval de Troie, Trojan.Peskyspy, destiné au logiciel de communication VoIP ( lien ) Skype, déjà fragilisé cette année par le SkypeSkrayping ( lien ). De façon classique, l'ordinateur de la victime une fois infecté va recevoir des instructions depuis un serveur distant. C'est vers ce même serveur que les fichiers de capture audio vont être finalement transférés, l'attaquant n'ayant plus alors qu'à s'y connecter pour récupérer les fichiers en question

Ruben Unteregger a travaillé pendant sept ans en temps qu'ingénieur logiciel pour la société suisse ERA IT Solutions ( lien ). Il était alors responsable de la programmation d'un code plus ou moins similaire permettant de pénétrer des ordinateurs privés afin d'effectuer des écoutes électroniques sur les conversations VoIP. Le code, Bundestrojaner, aurait notamment été développé et utilisé sous couvert du gouvernement suisse, Ruben Unteregger, bien qu'il soit apparemment légalement resté le propriétaire des droits, se devant alors de respecter son devoir de réserve vis-à-vis de la confidentialité des clients de la société en question, la police fédérale allemande aurait par exemple été citée.

Le code en lui-même est d'après l'auteur d'une extrême simplicité, le composant Skype-TAP injecté intercepte ici les appels vers les API Windows en charge de la gestion des entrées et des sorties audio. L'ensemble des données audio, transitant ainsi entre le processus relatif à Skype et les périphériques audio sous-jacents, sont alors extraites au format PCM puis converties en fichiers MP3. Fichiers qui seront chiffrés avant d'être finalement envoyés vers le serveur distant précédemment cité.

En exploitant de cette façon les périphériques audio directement au niveau du système d'exploitation, le code peut se permettre de s'affranchir et de rester pleinement fonctionnel et cela indépendamment de n'importe quel protocole ou chiffrement spécifique qui pourrait être appliqué à l'avenir au niveau de l'applicatif Skype lors du passage des données de la voix au niveau réseau.

Le code fourni n'est cependant pas complet, comparé à l'original utilisé par l'auteur, puisque les systèmes d'ajout de composants additionnels (plugins) et de contournement des solutions de filtrage ont été retirés pour le moment. Ces systèmes devraient être publiés au sein d'un prochain outil. A savoir également que ce cheval de troie pour Skype est une variante d'une des premières versions du cheval de Troie Megapanzer, également publié par Ruben Unteregger dès l'année 2006.

L'objectif initial de Megapanzer ( lien ) étant de fournir un outil offrant à un attaquant une connexion en retour (connect back) et une simple invite de commande. L'outil étant ainsi supposé apte à contourner l'ensemble des solutions de filtrage existantes, mais aussi à passer à travers les serveurs Proxy pouvant être éventuellement rencontrés lors du retour de connexion. La fonction d'écoute des conversations Skype n'ayant été ajoutée que plus tard avant de devenir l'axe principal de développement, une fois sa faisabilité puis son efficacité éprouvées.

A noter également que la vidéo de démonstration de Megapanzer, initialement publiée sur le service en ligne Vimeo et intitulée How to plunder a bank account with Megapanzer 0.1, a été supprimée ( lien ) par les équipes du site Vimeo, ainsi que par celles de Youtube et de Metacafe pour les services respectifs. Rappelons ici que l'utilisation de ce type de codes, à des fins autres que la recherche, expose bien entendu les auteurs à de graves sanctions conformément à la loi.

La source du cheval de Troie ( lien )

Plugin Skype-Tap ( lien )

Chargeur Skype-Tap ( lien )


Source : Blog Megapanzer ( lien )