Pour gérer vos consentements :

Cyberespionnage: Kaspersky et Symantec ont déniché des logiciels intrus furtifs

Choisissez ProjectSauron (référence au Seigneur des Anneaux) pour Kaspersky ou Strider/Remsec pour Symantec. Les deux éditeurs de solutions de sécurité ont enquêté chacun de leur côté sur des spyware probablement d’origine gouvernementale au regard du degré de sophistication nécessitant plusieurs millions de dollars. Ils viennent de publier quasi-simultanément des éléments de leurs investigations respectives.

Kaspersky a repéré le logiciel-espion ProjectSauron pour la première en septembre 2015, suite à la détection de trafic réseau anormal au sein d’une organisation cliente via un de ses produits de protection. Mais selon l’éditeur de solutions de sécurité IT russe, la menace, qui cible les systèmes Windows, est active depuis au moins depuis juin 2011. Une trentaine d’organisations ont été affectées par ProjectSauron ont été identifiées, principalement en Russie, en Iran, au Rwanda et peut-être des pays italophones.

Quant à l’Américain Symantec, il fait référence à un groupe de pirates Strider exploitant le malware Remsec (dans lequel on retrouve des bouts de code de ProjectSauron). L’outil furtif de cyber-espionnage aurait été activé à partir d’octobre 2011 (mais peut-être plus tôt)…Strider a touché des organisations et des individus en Russie, une compagnie aérienne en Chine, une « organisation » en Suède et une ambassade en Belgique.

Le point commun entre les deux outils spyware décortiqués semble donc leur vocation au cyberespionnage.

Techniques pointues et rares

Pour le cas de ProjectSauron (qui s’est nourri d’autres malware comme Duqu, Flame, Equation et Regin), Kaspersky évoque « une plateforme de cyber espionnage modulaire qui intègre des outils et des techniques uniques » qui cherche à accéder en priorité aux communications chiffrées.

« Ses implants et infrastructures s’adaptent spécifiquement à chaque cible, sans jamais être réutilisés », selon l’éditeur. Une technique d’empreinte unique qui rend la détection très compliquée.

Autre spécificité : son fonctionnement in-memory (fonctionnement en mémoire vive). Les principaux implants de ProjectSauron utilisent des scripts de mise à jour de logiciels légitimes et fonctionnent comme des backdoors (porte dérobée), téléchargeant de nouveaux modules ou lançant des commandes uniquement in-memory.

D’autres techniques montrent une expertise poussée comme l’utilisation de composants Lua (langage de scripts) dans des malware (« très rare » selon l’éditeur russe), l’usage de clés USB comportant des compartiments cachés dans lesquels sont dissimulées les données dérobées et des mécanismes d’exfiltration multiples des données, y compris des canaux légitimes comme la messagerie et le DNS. Impressionnante panoplie…

Il existe plusieurs caractéristiques techniques similaires dans les découvertes de Symantec autour du duo Strider/Remsec (décryptées dans une contribution), qui s’introduit à travers une porte dérobée d’un ordinateur infecté, capter ce qui est tapé sur un clavier, et voler les données.

Mais les deux éditeurs semblent avoir déniché deux outils sophistiqués d’espionnage. Pour le compte de qui ?

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

3 semaines ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

1 mois ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

2 mois ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

2 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

2 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago