Gauss, rejeton de la plateforme Flame
Kaspersky indique avoir mis la main sur Gauss, une plateforme de développement d’outils de cyberespionnage basée sur la plateforme Flame. Le projet Gauss serait relativement récent et aurait déjà donné naissance à un logiciel malveillant «activement distribué au Moyen-Orient depuis au moins 10 mois.» Celui-ci serait notamment répandu au Liban où il opérerait pour voler les identifiants d’utilisateurs de réseaux sociaux et de services de banque en ligne.
Encore une. Il aurait été bien innocent d’imaginer que la plateforme Duqu, dont provient Stuxnet, et sa proche cousine Flame, n’avaient pas donné naissance à d’autres logiciels malveillants que ceux déjà identifiés. D’autant plus que, selon le Washington Post, Flame et Stuxnet auraient été développés conjointement par les Etats-Unis et Israël dans le cadre d’un programme plus vaste baptisé «Jeux Olympiques.» Fin juin, les sources de nos confrères indiquaient d’ailleurs que si Stuxnet et Flame peuvent désormais être contrés, «cela ne signifie pas qu’il n’y a pas d’autres outils en jeu ou fonctionnant de manière effective.» La récente découverte des experts de Kaspersky semble accréditer cette thèse.
De fait, ceux-ci viennent d’indiquer avoir découvert Gauss, une plateforme «probablement créée mi-2011 et déployée pour la première fois en août-septembre 2011.» Pour eux, Gauss est basé sur la plateforme dont est issu Flame, «de la même manière que Duqu était basé sur la plateforme Tilded sur laquelle Stuxnet a été développé,» précisent-ils. Gauss emprunterait même certaines fonctionnalités à Flame, à l’instar de «des sous-routines de contagion par USB.» Egalement très modulaire, Gauss supporte des composants d’interception des cookies et des mots de passe dans les navigateurs, de collecte et de transmission des données de configuration des systèmes infectés, d’infection de clés USB, de parcours du contenu des systèmes de fichiers, de vol d’identifiant de systèmes de banque en ligne du Moyen-Orient, et de détournement des identifiants de réseaux sociaux, de messagerie électronique, et de messagerie instantanée. Kaspersky évoque en exemple les services en ligne des banques Bank of Beirut, Byblos Bank, et Fransabank. Petite surprise : les chercheurs assurent n’avoir pas trouvé de mécanisme d’auto-réplication du logiciel malveillant, «ce qui laisse en suspend la question du vecteur d’attaque original.» Autre originalité : une charge utile chiffrée, conçue pour être exécutée depuis des clés USB sur des systèmes cibles précis. Pour l’heure, celle-ci a résisté aux efforts des chercheurs.
L’éditeur russe explique avoir découvert Gauss dans le cadre d’efforts conjoints avec l’UIT (Union Internationale des Télécommunications) pour la lutte contre les cybermenaces émergentes. Gauss aurait ainsi été découvert un peu par hasard, voire négligé dans un premier temps. Mais pour Kaspersky, cela ne fait pas de doute : «Gauss est un cheval de Troie spécialisé pour les systèmes bancaires et soutenu par un Etat-nation,» «créé par les mêmes acteurs que ceux qui sont derrière Flame.» Un avis partagé par James Todd, responsable technique Europe de FireEye. Pour lui, Flame «n’était que la pointe de l’iceberg. Il est probable que Gauss soit en fait lié aux laboratoires qui ont créé Flame, Stuxnet et Duqu, et que cette cyber menace gouvernementale pourrait être plus dynamique, insidieuse et évolutive qu’on ne le pensait.»
Plus de 1600 postes auraient été infectés au Liban, près de 500 en Israël, et un peu plus de 250 en Palestine. Actuellement, Gauss serait dormant sur les machines infectées : «l’infrastructure de commande et de contrôle a été arrêtée en juillet 2012», indique Kaspersky, précisant que cet arrêt est survenu alors que ses équipes étudiaient le logiciel malveillant.