Dino, un autre logiciel espion français ?

Eset a mis la main sur un échantillon d'un autre logiciel malveillant du groupe Animal Farm, à l'origine de Casper, Babar et Bunny.

Après Casper, Babar et Bunny, voici Dino. Selon Juan Calvet, chercheur chez Eset, il s’agit d’un logiciel malveillant développé par le « groupe d’espionnage Animal Farm ». Un groupe francophone soupçonné d’être sous contrôle de la France. Précédemment, Kaspersky avait mentionné Dino et établi ses liens avec le reste de la trousse à outils d’Animal Farm.

Eset a mis la main sur un échantillon de Dino utilisé en 2013 contre des cibles en Iran. Dans un billet de blog, Juan Calvet détaille les trouvailles apportées par dissection de l’échantillon : « sommairement, Dino peut être décrit comme une porte dérobée élaborée construite de manière modulaire. Parmi ses innovations techniques, on trouve un système de fichier personnalisé pour exécuter des commandes de manière furtive, et un module complexe de planification de tâches fonctionnant de manière similaire à la commande Unix cron ». Ce système de fichier est également utilisé par les autres logiciels du groupe Animal Farm, précise Juan Calvet. Et puis, le code intègre de nombreux éléments de diagnostique et des « artefacts techniques qui suggèrent que Dino a été développé par des personnes de langue maternelle française ».

Et Dino utilise des sites Web compromis pour communiquer avec ses maîtres, « une procédure opérationnelle standard pour Animal Farm ». Ses commandes permettre de collecter des informations générales sur la machine compromise, ainsi que parcourir ses dispositifs de stockage, mais également de procéder à des recherches. Des recherches précises, avec des filtres sur la taille de fichier, son extension, ou encore sa date de création et de modification.

Bref, tout, dans Dino, pointe vers le groupe Animal Farm. Et donc vers la France. Dans une analyse publiée fin février dernier, Marion Marschalek attribuait Babar à un « état-nation ».

Pour Marion Marschalek, le nom du logiciel malveillant renvoie à des documents publiés par Der Spiegel en janvier 2014, ainsi que par Le Monde, en provenance du Centre de la sécurité des télécommunications du Canada (CSEC). Ceux-ci mentionnaient un logiciel au nom interne… « Babar ». Un logiciel malveillant découvert fin 2009 et lié à une opération baptisée Snowgloble. Comme le relève Paul Rascagnères, chez G Data, le CSEC estime « avec une certitude modérée que Snowglobe est un effort soutenu par un état, poussé par une agence française du renseignement ». Interrogée à l’époque par nos confrères du Monde, la DGSE s’était refusée à tout commentaire.

Reste qu’après analyse approfondie, « les experts de G Data sont sûrs d’avoir trouvé des échantillons qui correspondent aux descriptions » du CSEC. Alors, certes, Paul Rascagnères souligne « qu’attribuer un logiciel malveillant de n’importe quelle origine est toujours très difficile, en particulier avec des logiciels spécialisés et professionnels ». Pas question donc d’affirmer que les services de renseignement français sont à l’origine de Casper.

Mais ces descriptions « marquent une étape importante vers la validation des diapositives » du CSEC et donc, vers l’attribution de l’opération Snowglobe à la France.

 

Pour approfondir sur Cyberdéfense