"Red october", la nouvelle attaque de cyberespionnage à grande échelle

Le fournisseur mondial de solutions de sécurité informatique Kaspersky a identifié une nouvelle attaque de cyberespionnage à grande échelle. Elle serait d'origine russophone. "Red october" touche des représentations diplomatiques, des administrations, des organismes de recherche scientifique, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce et de l'aéronautique dans plusieurs pays depuis au moins cinq ans.
Copyright Reuters

Vous avez aimé Flame, vous adorerez "Red October". Kaspersky Lab est à la poursuite de "Red October"... Ce fournisseur mondial de solutions de sécurité informatique publie aujourd'hui une nouvelle étude identifiant une campagne de cyberespionnage d'origine russophone "visant des représentations diplomatiques, des administrations, des organismes de recherche scientifique, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l'aéronautique dans plusieurs pays depuis au moins cinq ans". Cette enquête a permis de mettre à jour et d'analyser un réseau de cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l'opération "Red October" (ou, en abrégé "Rocra"), qui aurait débutée en 2007, se poursuit encore en janvier 2013.

Selon cette société qui opère actuellement dans près de 200 pays et territoires, les cibles de cette campagne sont essentiellement des pays d'Europe de l'Est, des républiques de l'ex-URSS ou encore des pays du Moyen-Orient, même si les victimes peuvent se trouver partout, y compris en Europe occidentale et en Amérique du Nord. "Les attaques ont pour principal objectif de collecter, au sein des organisations touchées, des documents confidentiels renfermant des renseignements géopolitiques, des codes d'accès à des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des équipements réseau", a expliqué Kaspersky Lab.

Voler des informations

Les auteurs de "Red October" ont conçu un malware spécifique, qui possède sa propre architecture modulaire comprenant des extensions malveillantes, des modules destinés à dérober des informations et des chevaux de Troie de type "backdoor". Pour Kaspersky, ce procédé est classique: "les pirates ont souvent exploité des informations obtenues sur les réseaux infectés pour s'introduire dans d'autres systèmes. Par exemple, des identifiants volés ont été collectés et utilisés dans le cadre d'attaques pour découvrir des mots de passe donnant accès à ces systèmes". Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays, dont la majorité en Allemagne et en Russie, ont précisé les auteurs de cette étude.

L'analyse par Kaspersky Lab de l'infrastructure de commande et de contrôle (C&C) de "Rocra" révèle que la chaîne de serveurs opère telle une série de proxies afin de masquer l'adresse réelle du serveur principal. "Les informations dérobées sur les systèmes infectés se trouvent dans des documents présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa". En particulier, les extensions "acid* paraissent correspondre à des fichiers du logiciel cryptographique "Acid Cryptofiler", utilisé par plusieurs entités allant de l'Union européenne à l'OTAN, a expliqué Kaspersky. L'infection de systèmes lors d'une attaque passe par l'envoi aux victimes d'un e-mail ciblé de type "spear phishing" (harponnage) contenant un cheval de Troie personnalisé (dropper).

Des ambassades piratées

Kaspersky a détecté le code malveillant dès 2011, ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à Rocra. L'analyse du serveur qui a servi d'appât, s'est déroulée du 2 novembre 2012 au 10 janvier 2013. Durant de cette période, plus de 55.000 connexions provenant de 250 adresses IP infectées ont été enregistrés dans 39 pays, en majorité originaires de la Suisse, suivie du Kazakhstan et de la Grèce. Et de découvrir que "plusieurs centaines de systèmes infectés distincts ont été détectés (...), se situant essentiellement dans des ambassades, des réseaux et des organismes gouvernementaux, des instituts de recherche scientifique et des consulats". Selon ces observations, la majeure partie se trouve en Europe de l'Est, mais d'autres infections ont été également identifiées en Amérique du Nord et dans des pays d'Europe occidentale, par exemple la Suisse et le Luxembourg.

Compte tenu des données d'enregistrement des serveurs et des nombreux indices laissés dans les fichiers exécutables du malware, "il existe de solides preuves techniques indiquant que les auteurs des attaques sont d'origine russophone". En outre, ces exécutants étaient inconnus jusqu'à une date récente et n'ont pas été identifiées par les experts de Kaspersky Lab au cours de l'analyse d'attaques précédentes de cyberespionnage. Kaspersky, en collaboration avec des organisations internationales, les pouvoirs publics et les équipes CERT (Computer Emergency Response Teams) poursuit ses investigations sur Rocra en apportant son expertise et ses ressources techniques dans le cadre des procédures de correction et de neutralisation. Mais "le malware Rocra est détecté, bloqué et neutralisé avec succès par les produits de Kaspersky Lab, sous la classification Backdoor.Win32.Sputnik", a assuré Kaspersky.

Sujets les + lus

|

Sujets les + commentés

Commentaires 6
à écrit le 14/01/2013 à 22:18
Signaler
tout ca sur Microsoft Windows? uniquement Microsoft? Si vous voulez des systèmes plus robustes que Microsoft, allez chercher un système d'exploitation qui n a pas de virus sur www.distrowatch.com (TOUS.. gratuit.. eh oui.. Microsoft se gave de fric...

le 15/01/2013 à 16:02
Signaler
Un système d'exploitation complètement à l'abri des virus, cela n'existe pas. Les OS de type linux ont peu de virus certes, mais leur diffusion augmentant, ils en ont de plus en plus et il y a même des anti-virus spécialisés. C'est sûr que comparé à ...

le 23/01/2013 à 10:22
Signaler
+1 Quel que soit le système, la sécurité ne doit jamais être prise à la légère. Et même avec un système infaillible (ce qui n'existe pas), les applications tierces pourraient être vulnérables. Pour finir, les attaques de type social engineering per...

à écrit le 14/01/2013 à 20:17
Signaler
belle pub pour Kaspersky

à écrit le 14/01/2013 à 17:00
Signaler
Théoriquement aucune donnée sensible de nos ambassades ne peut se trouver sur un pc connecté à un Internet et a des services de messagerie externes. Sauf que ces petits chefs locaux sont nombreux à vouloir une exception pour eux mêmes. Et comme le di...

le 14/01/2013 à 19:45
Signaler
L information peut être aussi prise sur fax SMS Mms

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.