Un nouvel outil du cyber-arsenal d’Animal Farm vient d’être analysé par un chercheur en sécurité indépendant. Il se révèle techniquement ingénieux et a été utilisé en Iran en 2013.
Les chercheurs en sécurité continuent leurs enquêtes techniques sur l’arsenal d’Animal Farm, ce groupe dédié au cyber-espionnage, et probablement d’origine française (DGSE). Après Babar, Casper et Evilbunny, c’est au tour du logiciel d’espionnage furtif Dino d’être analysé et c’est Joan Calvet, chercheur en sécurité chez l’éditeur Eset qui s’y frotte.
Dino s’avère être un backdoor, qui, une fois installé sur une machine, permet l’accès de manière totalement transparente à celle-ci depuis l’extérieur. Le binaire gère d’origine une bonne vingtaine de commandes pré-programmées (téléchargement d’un module annexe, fiche détaillée sur la machine, exécution silencieuse, recherche poussée de fichiers, etc). Selon Calvet, le but final de Dino était clairement l’exfiltration de fichiers.
Pour être totalement furtif et ne laisser aucune trace sur les machines cibles, Dino dispose de la technologie « ramFS », permettant l’exécution complète en mémoire, la création de fichiers cachés et chiffrées au sein de la RAM ainsi que l’injection de code dans dans processus en cours. Ce système semble être une création propre au groupe Animal Farm et se retrouve de se fait dans pas mal d’autres de leurs outils. Dans le cas de Dino, ramFS sert au stockage de son programme d’autodestruction.
Le chercheur en sécurité a mis la main sur de nouveaux indices qui viennent corroborer l’hypothèse de développeur francophones. Ainsi, les auteurs ont utilisé le mot « arithmétique » dans certains chemins de fichiers. Par ailleurs, le langage implémenté par défaut est… le français. Ces seuls éléments ne permettent pas de prouver que Dino est d’origine française, mais c’est un argument de plus pour cette hypothèse.
En outre, Joan Calvet s’étonne de ne voir aucune mesure d’obfuscation du code de Dino, ce qui permettrait de rendre son analyse plus difficile. Au contraire, les auteurs ont produit un malware très intelligible, avec à la clé des commentaires et des messages d’erreurs. En revanche, les cibles sont peu connues.
« Concernant les victimes, nous ne savons que très peu choses, sauf qu’elles étaient localisées en Iran en 2013 », souligne le chercheur dans sa note de blog.
Sources : ESET, WeLive Security, 01Net
Et ils nous parlent encore de la liberté. C’est honteux
Les commentaires sont fermés.