Sécurité IT : ce que la mèche de Flame révèle selon Kaspersky
Selon Kaspersky qui a découvert ce malware, c’est le « kit d’outils d’attaque le plus complet et complexe à ce jour » exploité à des fins de cyber-espionnage.
Kaspersky Lab a effectué une première autopsie de Flame du nom d’un malware découvert fin mai à l’occasion d’une enquête déclenchée par l’Union internationale des télécommunications (UIT, branche de l’ONU).
Selon l’éditeur de solutions de sécurité IT, il s’agit du « kit d’outils d’attaque le plus complet et complexe à ce jour » exploité à des fins de cyberespionnage.
Il a scruté l’un des serveurs de commande et de contrôle (C&C) du malware, en collaboration avec des fournisseurs de services Internet (hébergement, DNS) comme GoDaddy et OpenDNS.
Les résultats de leur investigation ont été transmis aux autorités nationales en charge de la sécurité IT (CERT) afin qu’elles prennent les mesures nécessaires.
C’est du lourd dans la sécurité IT, pourrait-on résumer. Dans la lignée du « ver industriel » Stuxnet.
Les premières traces de Flame remontent à 2008. Sur les quatre dernières années, plus de 80 domaines ont été utilisés par les serveurs C&C de Flame.
L’infrastructure supportant le malware a fait l’objet de multiples migrations : Hong Kong, Turquie, Allemagne, Pologne, Malaisie, Lettonie, Royaume-Uni, Suisse…
Les auteurs, non identifiés en l’état actuel, se sont cachés sous de multiples fausses identités pour aspirer de préférence des documents aux formats PDF et Office et les schémas AutoCad (conception assistée par ordinateur).
« Les documents volés étaient compressés à l’aide de la librairie open source Zlib et d’une variante de la méthode PPDM [Privacy Preserving Data Mining, ndlr] et ils étaient cryptés de manière simple », précise Kaspersky.
La plupart des zones géographiques ont été infectées par Flame : Moyen-Orient, Europe, Amérique du Nord, Asie-Pacifique.
La version Windows 7 64 bits est considérée comme efficace pour contrer Flame.
Néanmoins, Microsoft a dû diffuser un patch d’urgence pour tous ses systèmes Windows en raison d’une faille exploitée par Flame.
A priori en passant par un algorithme de chiffrement obsolète via l’application Terminal Server (travail à distance) servant à délivrer de faux certificats électroniques.
On peut trouver l’analyse complète par Kaspersky de l’infrastructure C&C de Flame et les détails techniques sur le site Securelist.
Derrière l’exploitation de Flame, l’implication d’un Etat ne serait pas guère étonnante à des fins de cyber-espionnage.
En raison des fortes tensions diplomatiques avec l’Iran, on évoque régulièrement la plausible implication de cellules d’experts informatiques (militaires?) travaillant pour le compte des Etats-Unis ou d’Israël.
Ainsi, Flame a particulièrement affecté les compagnies pétrolières (stratégiques) en Iran.
Signe de cette fébrilité : selon le New York Times, le président américain Barack Obama aurait donné son feu vert pour accroître le nombre de cyber-attaques contre le programme nucléaire iranien sous le nom de code « Olympic Games ».
Crédit photo : © Cybrain – Fotolia.com