Skywiper/Flame, le nouveau super-malware
Plusieurs spécialistes de la sécurité informatique viennent de mettre la main sur un nouveau logiciel malveillant. Particulièrement sophistiqué, il serait en activité, dans la nature, depuis plusieurs années. Une discrétion qui s’explique aussi par la nature ciblée de l’usage qui en a été fait. Mais comme pour Stuxnet et Duqu, Kaspersky envisage la piste d’un outil développé par un Etat-Nation.
Une nouvelle arme informatique. C’est ainsi que Kaspersky Labs qualifie Flame - aussi appelé Flamer par Symantec -, un nouveau logiciel malveillant découvert en coopération avec l’Union Internationale des Télécommunications (UIT). Selon l’éditeur russe, Flame a été conçu pour mener des opérations de cyber-espionnage : ses capacités de capture d’informations seraient tout particulièrement étendues, portant sur les fichiers mais également les conversations audio, notamment. Flame a été découvert par hasard, alors que l’UIT et Kaspersky travaillaient sur un autre logiciel malveillant, qui reste à isoler, mais aurait déjà provoqué l’effacement de données sur des ordinateurs dans l’Ouest de l’Asie. Flame apparaît comme particulièrement sophistiqué, un «projet parallèle à Stuxnet et Duqu», développé par un autre groupe, selon l’éditeur russe.
Sophistiqué comme Duqu ou Stuxnet
Flame serait «dans la nature» depuis plus de deux ans. Le laboratoire de cryptographie et de sécurité informatique hongrois Crysys, estime que Flame - qu’il présente sous le nom de sKyWIper - sévirait depuis plus longtemps : de 5 à 8 ans. Il serait resté indétecté jusqu’ici «en raison de sa complexité extrême et la nature ciblée des attaques ». Sur le premier point, Kaspersky estime que Flame est «bien plus complexe que Duqu» : il associe des fonctions de porte-dérobée, de cheval de Troie, et de ver pour sa propagation locale; il est capable d’écouter le trafic réseau, de réaliser des captures d’écran, d’enregistrer des conversations audio, d’intercepter les frappes au clavier, de communiquer avec les équipements Bluetooth, etc. L’éventail est impressionnant d’exhaustivité. Non content de réaliser des captures d’écran à intervalles réguliers, Flame est capable de cibler précisément certaines applications.
Et «toutes ces données sont mises à disposition des opérateurs [de Flame] via ses connexions aux serveurs de commande et de contrôle ». Des connexions sécurisées, sur canal chiffré SSL. Kaspersky indique continuer d’étudier ce point et n’est pas encore en mesure de fournir un compte précis des serveurs de commande et de contrôle de Flame.
De son côté, BAE Systems explique que Flame vérifie la présence, sur la machine infectée, de Kerio Control Firewall, de Kaspersky Antivirus, ou encore de Symantec Internet Security et de McAfee Personal Firewall. Il collecte en outre les identifiants de plusieurs applications - outils FTP, VNC, etc. Les données récupérées sont stockées dans des bases de données SQLite.
Autre originalité : Flame est écrit en partie en LUA, un langage du monde... du jeu vidéo. Et globalement, il est assez lourd : 20 Mo en tout, ce qui simplifie pas une analyse dont certains estiment qu’elle devrait prendre de nombreux mois, mais ce volume se justifie par les différentes librairies qu’il embarque et la machine virtuelle LUA.
Utilisé de manière très ciblée
Flame apparaît donc comme particulièrement complexe, «l’une des menaces les plus complexes jamais découvertes », estime Kaspersky. Et développé à dessein. Symantec et Kaspersky suspecte Flame d’avoir été déployé de manière ciblée. Le premier relève que les cibles sont principalement situées en Europe de l’Est et au Moyen-Orient mais il précise que «les secteurs industriels ou affiliations des cibles ne sont pas encore clairs ». En fait, «les victimes pourraient ne pas avoir été toutes ciblées pour les mêmes raisons ». Kaspersky estime que Flame s’est principalement propagé en Iran, en Palestine et les territoires occupés par Israel, au Soudan, en Syrie, au Liban, en Arabie Saoudite, et en Egypte. Le Cert iranien a récemment émis un bulletin d’alerte reconnaissant l’existence de la menace dans le pays.
Pour l’éditeur, l’hypothèse la plus probable est que ce logiciel a été créé par un Etat. Il n’identifie pas plus que Symantec de secteur industriel ciblé précisément. Mais il souligne que Flame est «hautement flexible» et pourrait être utilisé pour déployer des modules d’attaque spécifiques : il faudrait compter une vingtaine de plug-ins, pas tous systématiquement déployés. Sans surprise, de multiples variantes du logiciel malveillant sont désormais observées. Bitdefender a annoncé hier la disponibilité d’un outil gratuit pour éradiquer Flame.