L’éditeur Kaspersky a mis la main sur un arsenal de malwares ultrasophistiqués dont les traces remontent à l’agence d’espionnage américaine. C’est une plongée étourdissante dans l’art de la guerre numérique.
Le roi
est nu, enfin presque. Après des mois d’enquête, les chercheurs en
sécurité de Kasperky ont mis la main sur une série de logiciels
d’espionnage aussi complexes que Stuxnet, utilisés par un groupe qu’ils
ont baptisé « Equation Group ». Celui-ci est actif depuis au moins 2001,
utilise un vaste réseau de serveurs de commande et contrôle (plus d’une
centaine) et a infecté plusieurs dizaines de milliers postes partout
dans le monde. Vous l’aurez compris : derrière « Equation Group » se
cache en réalité... la NSA. Kaspersky ne peut pas l’affirmer à partir
des éléments en sa possession, même si beaucoup d’indices pointent dans
cette direction. Toutefois, cela a été confirmé auprès de Reuters par un ancien membre de l’agence américaine. Le doute n’est donc pas possible.
Kaspersky a découvert environ 500 victimes dans le monde , mais estime le nombre total à plusieurs dizaines de milliers.
Parmi la
demi-douzaine de logiciels d’espionnage analysés, il y en a un qui
surpasse tous les autres, car il est capable de reprogrammer
(« flasher ») les firmwares de presque tous les disques durs du marché :
Maxtor, Western Digital, Samsung, Toshiba, Seagate, Hitachi, IBM,
Micron Technologies, etc. Dans quel but ? Pour y installer un mouchard
ultrarésistant, impossible à supprimer pour le commun des mortels. Et
qui reste opérationnel même après un formatage complet du disque dur ou
une réinstallation du système d’exploitation. Ce module de
reprogrammation de disque dur ne sert visiblement pas pour une
surveillance de masse. Selon Kaspersky, sa présence est « extrêmement rare ». Son utilisation est probablement réservée à l’espionnage de quelques cibles très particulières.
Un système de fichier caché dans la base de registre
Mais
cette fonction hors du commun n’est qu’un module d’une plateforme
d’espionnage bien plus large, que Kaspersky a baptisé GreyFish. Une fois
qu’un ordinateur Windows a été pénétré, celui-ci s’installe en toute
douceur et reste quasi invisible. En effet, pour prendre pied dans le
système, GrayFish infecte le Master Boot Record, ce qui lui
permet de prendre le contrôle de toute la phase de démarrage de Windows.
L’ordinateur est compromis avant même qu’il même que son système ne
soit lancé. Mieux : lorsque Windows a démarré, GrayFish installe dans la
base de registre un système de fichier autonome et virtuel, dans lequel
viendront se loger tous les modules d’espionnage et les données à
récupérer. Evidemment, tout est chiffré en permanence, même les
exécutables, ce qui permet de ne pas se faire repérer par les logiciels
antivirus. En cas de pépin, GrayFish s’autodétruit. Au niveau du codage,
c’est donc un vrai travail d’orfèvre.
Pour infecter leurs
victimes, Equation Group/NSA a plusieurs moyens à disposition, à
commencer par un ver informatique baptisé « Fanny ». Créé en 2008,
celui-ci a utilisé deux failles zero-day qui ont été découvertes plus
tard dans... Stuxnet, le célèbre logiciel de sabotage qui a permis à la
NSA de saboter le programme nucléaire iranien. Pour se propager, Fanny
infecte des clés USB en y créant un espace de stockage caché. Une
technique similaire à BadUSB, la faille découverte par les chercheurs de SRLabs.
Les CD-Rom sont un autre canal
d’infection. Les espions d’Equation Group ont la capacité d’intercepter
les disques optiques envoyés par voie postale à leurs victimes.
Kaspersky cite deux exemples. Dans un cas, la victime a commandé les
transcriptions audio/vidéo d’une conférence professionnelle à Houston. A
l’arrivée, un pack de CD-Rom vérolés. Dans un autre cas, le malware
était logé sur un CD d’installation d’Oracle Database. Au total,
Kaspersky a dénombré sept failles permettant d'infecter les postes
ciblés, dont quatre étaient à l’époque des zero-day. L’éditeur mentionne
également l’exploitation de failles inconnues à ce jour - probablement
zero-day - dans Firefox 17 et le navigateur Tor Browser Bundle.
Lire aussi:
Source: