Petrovich12 - Fotolia
Qui vise l’opération de cyber-renseignement BugDrop ?
Elle a affecté au moins soixante-dix organisations, principalement en Ukraine, mais également en Russie, en Arabie Saoudite et en Autriche, dans des secteurs variés. Avec des méthodes élaborées.
Qui est à l’origine de l’opération BugDrop et qui vise-t-elle ? CyberX, qui lève le voile sur cette campagne de renseignement élaborée, ne s’avance pas, même si ses chercheurs assignent aux auteurs des « capacités du niveau d’un état-nation ». Et force est de reconnaître que l’opération présente une sophistication certaine.
Ainsi, le code malveillant utilisé fait appel à des techniques observées précédemment chez BlackEnergy, connu des opérations sur le réseau de distribution électrique en Ukraine, mais également Duqu : le code est chargé en mémoire sans appel classique aux API de Windows, « contournant ainsi les mécanismes de vérification du code ». Certains composants, des librairies à chargement dynamique, sont en outre chiffrés pour échapper à l’examen des solutions de protection du poste de travail ou des bacs à sable. Et de sorte à assurer la furtivité du trafic, le logiciel espion communique avec ses opérateurs via des sites gratuits d’hébergement Web tout à fait légitimes, et utilise Dropbox pour exfiltrer les données qu’il collecte.
Et celles-ci sont pour le moins variées : enregistrements audio réalisés à partir du microphone des machines compromises, captures d’écran, documents, mots de passe stockés par les navigateurs Web. Pour les chercheurs de CyberX, cette opération « nécessite une infrastructure massive pour stocker, déchiffrer et analyser plusieurs gigaoctets de données non structurées collectées chaque jour ». En outre, « une grande équipe d’analystes humains est requise pour traiter manuellement les données et/ou avec de l’analyse Big Data ».
L’infection initiale se fait pas hameçonnage, avec une prétendue liste d’informations personnelles sur des militaires, dans un document Word aux macros malicieuses. Le tout semble avoir été rédigé en russe.
CyberX assure qu’au moins 70 organisations ont été visées avec succès par l’opération BugDrop, majoritairement en Ukraine, avec une préférence pour les secteurs des infrastructures critiques, des médias ou encore de la recherche scientifique. Mais « beaucoup de cibles se trouvent dans les états séparatistes de Donetsk et de Luhansk », comme pour l’opération Groundbait évoquée en mai 2016 par Eset. Les chercheurs de CyberX n’excluent d’ailleurs pas un lien, estimant que « si les deux opérations sont liées, le groupe [peut] avoir décidé de changer ses tactiques pour éviter la détection ». Les modules observés par CyberX ont été compilés un mois environ après qu’Eset a communiqué sur Groundbait.
L’Ukraine apparaît en tout cas fait l’objet de nombreuses opérations cyber. Son gouvernement a récemment accusé ouvertement des pirates russes d’avoir attaqué ses infrastructures électriques et son secteur financier, pour le compte des autorités de Moscou.