Nmedia - Fotolia
Le monde du cyberespionnage accueille un nouvel acteur
Les équipes de Kaspersky ont identifié une nouvelle plateforme d’espionnage informatique, baptisée ProjectSauron. Très avancée, elle serait du niveau de celles des groupes Equation, Regin, Duqu ou encore Careto.
C’est en septembre dernier que les équipes de Kaspersky ont, pour la première fois, observé une attaque avancée inconnue jusqu’alors. Et de la baptiser ProjectSauron – même si Symantec y fait référence sous le nom « Strider » – en raison d’une référence interne au célèbre personnage de l’univers de J.R.R. Tolkien.
Dans un billet de blog, les équipes de l’éditeur russe placent ProjectSauron au même niveau que les plateformes des groupes Equation, Regin, Duqu ou encore Careto, suspectant au passage l’œuvre d’un Etat-nation. Elles décrivent une « plateforme modulaire conçue pour les campagnes d’espionnage à long terme ». Tous ses composants ont recours à des algorithmes de chiffrement « forts, tels que RC6, RC5, RC4, AES, Salsa20, etc. ». Cette plateforme s’appuie sur un moteur d’interprétation de code LUA et supporte une cinquantaine de types d’extension.
D’après Kaspersky, les auteurs de ProjectSauron s’intéressent particulièrement aux communications chiffrées d’institutions gouvernementales : « il vole des clés de chiffrement, des fichiers de configuration, et les adresses IP de serveurs d’infrastructures de clés liés aux logiciels de chiffrement ». La plateforme est en outre capable d’extraire des données de systèmes physiquement isolés en s’appuyant sur des clés USB, « où sont stockées les données dans une zone invisible au système d’exploitation ». De quoi leurrer au passage « de nombreux produits de prévention des fuites de données (DLP) ». Sur les systèmes connectés, l’exfiltration s’appuie massivement le protocole DNS.
Selon Symantec, Strider a été utilisé avec une grande parcimonie depuis octobre 2011 : l’éditeur assure n’avoir trouvé « des preuves d’infection que sur 36 ordinateurs dans 7 organisations distinctes », en Russie, en Chine, en Siède et en Belgique. Kaspersky estime de son côté que la plateforme est opérationnelle depuis juin 2011 et était encore active en avril dernier.
Le vecteur initial de compromission reste inconnu, mais l’éditeur russe propose un rapport technique complet, assorti d’indicateurs de compromission et de règles Yara.