Pour gérer vos consentements :
Categories: Régulations

Cyber-espionnage : les agences de renseignement prises à leur propre jeu

La température est montée d’un cran dans le cadre de la conférence Black Hat après les révélations de Symantec et Kaspersky.

Les deux éditeurs spécialisés dans la sécurité informatique ont mis à profit la session du jeudi 7 août pour exposer les résultats de leurs enquêtes respectives sur une cyber-attaque d’envergure qui a fait, depuis le début de l’année, plusieurs centaines de victimes liées à des gouvernements ou à des organisations militaires.

Bien que menés séparément, les travaux des deux sociétés se recoupent en de nombreux points. Pour Kaspersky comme pour Symantec, il s’agit d’une opération sans précédent par le seul fait qu’elle a atteint avec succès… deux agences de renseignement basées en Europe et au Moyen-Orient.

Probablement lancée à l’initiative d’un État-nation, cette campagne au long cours a exploité une combinaison de logiciels malveillants déjà utilisée depuis au moins quatre ans à des fins de piratage informatique. Parmi les principaux vecteurs d’infection figure, outre le phishing, la technique du « watering hole », en d’autre termes le détournement de sites Web légitimes (au moins 84 ont été affectés depuis 2012, selon Symantec). Lorsque l’utilisateur visitait l’un de ces sites, son navigateur envoyait automatiquement, en arrière-plan, une « empreinte » unique permettant de contrôler les paramètres du système afin de détecter d’éventuelles failles, par exemple via des plugins vulnérables.

Le malware Trojan.Wipbot – aussi connu sous le nom de Tavdig – entrait alors en scène pour conduire un examen rapide de la machine infectée. Si la cible était jugée « digne d’intérêt » en regard des motivations des pirates, le malware Trojan.Turla (appelé aussi Uroboros, Snake ou Carbon) prenait le relais. Paramétré pour s’exécuter automatiquement à chaque démarrage, il ouvrait, au lancement du navigateur Web, une porte dérobée pour les pirates afin de récupérer des fichiers, de transférer d’autres logiciels malveillants…

Kaspersky évoque une contamination assez virulente, s’étendant rapidement à l’ensemble du réseau auquel sont connectés les ordinateurs infectés. Sur la liste des victimes, on recense des ministères des Affaires étrangères et de l’Intérieur, des ambassades, du personnel militaire et même des sociétés de l’industrie pharmaceutique.

La plupart des cas sont localisés en Europe centrale et de l’Est (Pologne, Roumanie, Grèce, Jordanie, Biélorussie), mais l’Allemagne, la Belgique, la France et les Etats-Unis ont aussi été touchés… souvent via des ambassades dont le système informatique est relié à des réseaux privés dans des pays de l’ex-URSS.

D’une constitution « ultra-sophistiquée », Turla a permis l’exfiltration d’une grande quantité de documents texte, de feuilles de calcul et d’e-mails. Le malware embarquait notamment une fonction de recherche pour des chaînes de caractères précises portant sur des capitales européennes, et des organisations comme l’OTAN.

Ni Kaspersky, ni Symantec n’estime détenir suffisamment d’éléments pour déterminer l’origine de cette attaque. L’interface d’administration des différents outils et le mot « zagruzchick » (bootloader) utilisé dans le code laisse à penser que les pirates sont russophones.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago