Cyberespionnage: Kaspersky et Symantec ont déniché des logiciels intrus furtifs
Dans la sécurité IT, Kaspersky (Russie) et Symantec (USA) ont détecté des spyware sophistiqués probablement d’origine gouvernementale.
Choisissez ProjectSauron (référence au Seigneur des Anneaux) pour Kaspersky ou Strider/Remsec pour Symantec. Les deux éditeurs de solutions de sécurité ont enquêté chacun de leur côté sur des spyware probablement d’origine gouvernementale au regard du degré de sophistication nécessitant plusieurs millions de dollars. Ils viennent de publier quasi-simultanément des éléments de leurs investigations respectives.
Kaspersky a repéré le logiciel-espion ProjectSauron pour la première en septembre 2015, suite à la détection de trafic réseau anormal au sein d’une organisation cliente via un de ses produits de protection. Mais selon l’éditeur de solutions de sécurité IT russe, la menace, qui cible les systèmes Windows, est active depuis au moins depuis juin 2011. Une trentaine d’organisations ont été affectées par ProjectSauron ont été identifiées, principalement en Russie, en Iran, au Rwanda et peut-être des pays italophones.
Quant à l’Américain Symantec, il fait référence à un groupe de pirates Strider exploitant le malware Remsec (dans lequel on retrouve des bouts de code de ProjectSauron). L’outil furtif de cyber-espionnage aurait été activé à partir d’octobre 2011 (mais peut-être plus tôt)…Strider a touché des organisations et des individus en Russie, une compagnie aérienne en Chine, une « organisation » en Suède et une ambassade en Belgique.
Le point commun entre les deux outils spyware décortiqués semble donc leur vocation au cyberespionnage.
Techniques pointues et rares
Pour le cas de ProjectSauron (qui s’est nourri d’autres malware comme Duqu, Flame, Equation et Regin), Kaspersky évoque « une plateforme de cyber espionnage modulaire qui intègre des outils et des techniques uniques » qui cherche à accéder en priorité aux communications chiffrées.
« Ses implants et infrastructures s’adaptent spécifiquement à chaque cible, sans jamais être réutilisés », selon l’éditeur. Une technique d’empreinte unique qui rend la détection très compliquée.
Autre spécificité : son fonctionnement in-memory (fonctionnement en mémoire vive). Les principaux implants de ProjectSauron utilisent des scripts de mise à jour de logiciels légitimes et fonctionnent comme des backdoors (porte dérobée), téléchargeant de nouveaux modules ou lançant des commandes uniquement in-memory.
D’autres techniques montrent une expertise poussée comme l’utilisation de composants Lua (langage de scripts) dans des malware (« très rare » selon l’éditeur russe), l’usage de clés USB comportant des compartiments cachés dans lesquels sont dissimulées les données dérobées et des mécanismes d’exfiltration multiples des données, y compris des canaux légitimes comme la messagerie et le DNS. Impressionnante panoplie…
Il existe plusieurs caractéristiques techniques similaires dans les découvertes de Symantec autour du duo Strider/Remsec (décryptées dans une contribution), qui s’introduit à travers une porte dérobée d’un ordinateur infecté, capter ce qui est tapé sur un clavier, et voler les données.
Mais les deux éditeurs semblent avoir déniché deux outils sophistiqués d’espionnage. Pour le compte de qui ?