Cinq cyber-armes sont sorties du lot en 2013, toutes ayant un grand potentiel de faire changer la façon dont nous pensons à la relation entre la sécurité nationale et de la cybersécurité. Red October, MiniDuke, TeamSpy, APT1 et Stuxnet sont parmi les cyber-menaces les plus dangereuses de 2013…
Au cours de la dernière année, il y a eu une augmentation rapide de la prolifération de nouvelles armes cybernétiques qui sont utilisés dans le cadre de cyberattaques coordonnées sur les réseaux d’ordinateurs à travers le monde. Dans certains cas, ces cyberattaques font partie des activités soutenues sur plusieurs années, ciblant des gouvernements, des entreprises et des instituts de recherche.
Red October
Au début de 2013, Kaspersky Lab a publié un rapport complet qui inclus les résultats d’une étude concernant l’opération de cyber-espionnage mondial connue sous le nom “Red October“. Les cibles de cette attaque étaient divers organismes gouvernementaux, des organisations diplomatiques ainsi que des entreprises situées dans différents pays à travers le monde. Les assaillants ont été actifs au cours des cinq dernières années. Afin de surveiller et de contrôler les systèmes qu’ils ont infectés, ils ont créé plus de 60 noms de domaine et éparpillé plusieurs serveurs situés dans des services d’hébergement aux quatre coins de la planète. L’infrastructure des serveurs de gestion est une chaîne de serveurs proxy.
En outre, les cybercriminels ont comptés sur la Russie, l’ex-Union soviétique, l’Europe de l’Est et quelques pays d’Asie centrale pour voler des données confidentielles afin d’avoir accès aux systèmes informatiques, aux appareils mobiles personnels et aux réseaux d’entreprise, et à des données géopolitiques.
L’équipe d’experts de Kaspersky Lab a ouvert une enquête en octobre 2012, après une série d’attaques qui ont visé les réseaux informatiques des organismes de services diplomatiques internationaux. Finalement, un réseau de cyber-espionnage à grande échelle a été révélé au cours de l’enquête. Selon le rapport d’analyse de Kaspersky Lab, l’opération Red October (ou “Octobre Rouge”) a été une campagne minutieusement préparée depuis 2007 !
“Nous avons lancé l’enquête une fois que nous avons reçu les fichiers d’un partenaire qui a voulu rester anonyme. Nous avons vite compris que nous avions affaire à l’une des campagnes de cyber-espionnage les plus étendues que nous n’avions jamais rencontrés “, eexplique l’xpert en chef de malware de Kaspersky, Vitaly Kamlyuk, en janvier 2013.
MiniDuke
En février 2013, FireEye a publié une analyse d’un nouveau programme malveillant qui avaient pénétré au sein d’Adobe Reader. FireEye a étudié ces incidents en collaboration avec la société hongroise Crysys Lab.
Les assaillants avaient envoyé des documents PDF malveillants contenant des informations sur un séminaire relatif aux droits humains (ASEM), les détails de la politique étrangère de l’Ukraine et aussi les plans des pays membres de l’OTAN. Les victimes de MiniDuke ont été des entités gouvernementales en Ukraine, Belgique, Portugal, Roumanie, République tchèque et Irlande; une fondation de recherche en Hongrie; et aussi un institut de recherche; deux centres de recherche et un établissement médical aux Etats-Unis. Kaspersky Lab a réussi à identifier un total de 59 victimes dans 23 pays.
“Il s’agit d’une cyberattaque très inhabituelle“, a déclaré Eugene Kaspersky, fondateur et PDG de Kaspersky Lab. “Je me souviens de ce style de programmation malveillant datant de la fin des années 1990 et du début des années 2000. Je me demande pourquoi ces types d’auteurs de logiciels malveillants, qui ont été en hibernation depuis plus d’une décennie, se sont soudainement réveillés et ont rejoint des groupes sophistiqués d’acteurs de menaces actives dans le cybermonde. Ces élites old school auteurs de logiciels malveillants ont été extrêmement efficace dans le passé quand à la création de malwares hautement complexes, et voient maintenant leurs compétences combinées avec les exploits récents et avancés pour cibler des entités gouvernementales ou des institutions de recherche dans plusieurs pays “.
“La porte dérobée hautement personnalisée de MiniDuke a été écrite en assembleur et est de très petite taille, étant seulement de 20 ko“, a ajouté Kaspersky. “La combinaison du savoir des anciens auteurs de logiciels malveillants expérimentés utilisant des exploits nouvellement découverts et de l’ingénierie sociale intelligente permettant de compromettre des objectifs de haut niveau est extrêmement dangereuse.“
APT1
En février 2013, la société de sécurité US Mandiant a publié un rapport détaillé sur les attaques menées par un groupe de pirates informatiques chinois connus sous le nom APT1 (Advanced Persistent Threat). Au début du rapport, Mandiant indique que APT1 doit être directement lié à une unité spécialisée secrète de l’armée chinoise.
Mandiant cite même l’adresse postale possible de cette unité et établit une estimation de ses effectifs et de l’infrastructure qu’elle utilise. Mandiant suspecte que le groupe APT1 fonctionne depuis 2006 et que, au cours des six dernières années, ce dernier ait réussi à voler des téraoctets de données à partir d’au moins 141 organisations. La plupart des entreprises ciblées sont dans des pays anglo-saxons.
La seule question est la spécificité du lien entre APT1 et le gouvernement chinois. Comme le souligne Mandiant, “APT1 est susceptible d’être parrainé par le gouvernement et c’est l’un des plus grands acteurs de cyber-menaces de la Chine. APT1 est censé être le 2e Bureau de l’Armée populaire de Libération (APL) 3e Département général du personnel du ministère (GSD), qui est plus communément connu par sa Military Unit Cover Designator (MUCD), la fameuse unité 61398“.
APT1 possède une vaste infrastructure des systèmes informatiques à travers le monde. … La taille de l’infrastructure de APT1 implique une grande organisation avec au moins des dizaines, voir potentiellement des centaines d’opérateurs humains.
TeamSpy
En mars 2013, le Laboratoire de Cryptographie et Sécurité du système (CrySys) à l’Université de Technologie et de l’économie de Budapest, en collaboration avec l’Autorité de sécurité nationale hongroise (FBN), a publié des informations sur une autre attaque complexe ciblant les hommes politiques de haut niveau et les défenseurs des droits de l’homme au sein des pays de la CIS et de l’Europe de l’Est. L’opération a été baptisée TeamSpy, parce que les assaillants ont utilisé le programme TeamViewer, qui est conçu pour l’administration à distance, afin de contrôler les ordinateurs de leurs victimes. Le principal objectif des assaillants était de recueillir des informations sur l’ordinateur des utilisateurs, en commençant par prendre des screenshots et en terminant en copiant les fichiers avec une extension .PGP, y compris les mots de passe et clés de chiffrement.
Stuxnet
Ce qui rend le programme Stuxnet unique, c’est que c’était la première fois dans l’histoire des cyberattaques qu’un virus détruit physiquement une partie de l’infrastructure d’une autre nation. On croit que Stuxnet est une arme cybernétique spécialement miss au point par les services spéciaux israéliens et US qui est dirigée contre les projets nucléaires de l’Iran.
Le journaliste américain David Sanger affirme dans son livre Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power que Stuxnet a fait parti des outils anti-Iraniens du gouvernement américain. Le virus Stuxnet a été étudié par de nombreuses sociétés anti-virus, mais il y a encore plusieurs modules qui ont été peu étudiés voir pas du tout.
Stuxnet existe en plusieurs versions, la première est parue en 2009. Les experts ont plus d’une fois exprimé leur conviction que des versions précédentes du ver existaient (ou existent encore). À la fin du mois de février 2013, Symantec a publié une étude d’une nouvelle version du ver appelé Stuxnet 0.5. Cette version s’est avérée être la plus ancienne connues de Stuxnet : elle a été active entre 2007 et 2009.
Crédits image : Flickr, GlobeSign