« Raspberry Robin » : le mystérieux ver informatique qui menace les entreprises, en 5 questions

Microsoft a classé à « haut risque » un nouveau logiciel malveillant, nommé « Raspberry Robin » par des chercheurs. Ce dernier permet de détourner les fonctionnalités de Windows pour ouvrir la porte à d'autres logiciels malveillants. Problème : de nombreuses zones d'ombres restent sur ses objectifs, et sur les intentions des personnes qui l'ont créé.
François Manens
(Crédits : © Shannon Stapleton / Reuters)

Un étrange logiciel malveillant attire de plus en plus l'attention, et les inquiétudes. Il vise les appareils sous Windows, avec la capacité d'ouvrir une porte pour installer d'autres logiciels malveillants. Son nom ? Raspberry Robin, littéralement le « rouge-gorge framboise ». Ce sont les chercheurs de Red Canary qui l'ont ainsi baptisé après l'avoir détecté pour la première fois chez leurs clients en septembre 2021. L'équipe de recherche de l'entreprise française Sekoia a elle aussi étudié cette nouvelle menace, sous le nom moins rutilant « QNAP worm ».

Début juillet 2022, dans un rapport repéré par le Bleeping Computer, Microsoft (l'éditeur de Windows) a expliqué avoir elle-même détecté des centaines de réseaux affectés par Raspberry Robin. Le géant américain a donc classé la campagne [nom donné à une vague d'attaque, ndlr] malveillante dans la catégorie « haut risque ». Mais si le logiciel malveillant parvient effectivement à obtenir toutes les conditions pour causer des dégâts potentiellement importants chez ses victimes, les chercheurs n'ont pour l'instant trouvé aucun signe d'une telle activité. Le mystère de cette inaction laisse planer un épais brouillard sur l'identité et les intentions des personnes qui l'ont créé et déployé.

Comment Raspberry Robin infecte-t-il les victimes ?

Dans le jargon, Raspberry Robin entre dans la catégorie des vers informatiques. Ce terme désigne la capacité d'un logiciel malveillant à se répandre sur les différents appareils connectés à un réseau, automatiquement. D'après les chercheurs de Sekoia, Raspberry Robin se diffuse sans exploiter de vulnérabilités [des défauts logiciels, ndlr]. Concrètement, il actionne des fonctionnalités légitimes de Windows pour passer d'une machine à l'autre.

Les premiers cas d'infection détectés par les chercheurs avaient pour origine des connexions à des appareils de stockage de données de la marque QNAP, infectés en amont par les attaquants. Mais depuis, ces derniers auraient diversifié leur infrastructure d'attaque. Ils utilisent notamment des box internet infectées pour déployer le logiciel malveillant en Allemagne.

Ces appareils compromis contiennent un fichier en « .lnk » [une extension utilisée pour les raccourcis Windows, ndlr], qui va se déclencher automatiquement au branchement à la machine cible. Ce fichier actionne le programme d'installation de Microsoft pour établir une connexion par Internet aux serveurs de commande des attaquants, des ordinateurs situés à distance. Cette manipulation a peu de risques d'être détectée, car l'outil de Microsoft a les autorisations nécessaires pour télécharger et exécuter des programmes d'installation.

Heureusement, le mode d'attaque par voie USB s'avère relativement difficile à mettre en place, et permet d'écarter l'éventualité d'une infection à très grande échelle. Si toutes les entreprises n'ont pas des politiques pour empêcher les infections par clé USB, c'est un risque parmi les plus connus, et bon nombre d'employés sont formés sur le sujet.

Que permet-il de faire ?

Raspberry Robin permet de contaminer efficacement plusieurs machines, et d'ouvrir une porte dérobée vers des serveurs contrôlés par les attaquants. Cet accès permet, en théorie, de déposer d'autres logiciels malveillants chez les victimes, ou d'exfiltrer des informations.

Le problème, c'est qu'à l'heure actuelle, les chercheurs n'ont détecté aucune utilisation des accès obtenus par Raspberry Robin. Résultat, ils ne connaissent pas le but final de l'opération, ni les intentions des malfaiteurs. La porte est donc ouverte à la spéculation : les artisans du logiciel malveillant cherchent-ils à vendre leurs accès aux réseaux des victimes ? A faire de l'espionnage ? Accumulent-ils les accès pour les exploiter tous en même temps ? Autant de questions laissées en suspens.

Qui est concerné ?

D'après l'équipe de recherche de Sekoia, de nombreux réseaux dans le monde sont touchés, et elle a vu le logiciel malveillant en œuvre dans « plusieurs réseaux français » dès la fin de l'année 2021. Les experts de Red Canary ont aussi détecté les premiers cas à la même période. Les attaquants ont visé les réseaux de plusieurs de leurs clients, appartenant notamment au secteur de l'industrie et de la tech. En ce début du mois de juillet, Microsoft a à son tour trouvé Raspberry Robin dans « des centaines » de réseaux Windows.

Reste que la cible du logiciel malveillant n'est pas clairement identifiée, et qu'aucune cohérence entre les victimes n'a été soulignée par les chercheurs. L'évaluation est d'autant plus difficile que le logiciel malveillant vise les systèmes Windows, et que donc son terrain de jeu est très grand.

Qui se cache derrière Raspberry Robin ?

Cette question reste une énigme, puisque tout laisse à penser que la personne ou le groupe qui a déployé Raspberry Robin n'a pas encore exploité les accès aux systèmes Windows infectés. En conséquence, les chercheurs s'interrogent sur la nature des acteurs malveillants : est-ce que ce sont simplement des cybercriminels qui s'amusent à tester de nouvelles choses,  ou est-ce qu'il s'agit d'un groupe de hackers sérieux, par exemple à la solde d'un Etat ? Selon Sekoia, le code du ver informatique est « plutôt sophistiqué », ce qui irait plutôt dans le sens de la deuxième option, ou du moins vers la piste d'un groupe cybercriminel bien organisé. Mais rien n'est confirmé pour l'instant.

Habituellement, les experts parviennent à attribuer les logiciels malveillants à tel ou tel groupe de malfaiteurs en recoupant les méthodes employées, les infrastructures d'où proviennent les attaques ou encore la qualité du code. Dans le cas de Raspberry Robin, il faudrait plus d'éléments à analyser, et des actions plus concrètes des attaquants.

Une autre énigme taraude particulièrement les chercheurs de Red Canary : on ne sait pas où et comment Raspberry Robin infecte les appareils de stockages (notamment les QNAP) qui lui serviront de point d'entrée sur les systèmes Windows. « Il est probable que cette infection se fassee hors ligne ou du moins hors de notre visibilité », précisent les chercheurs.

Que faire contre Raspberry Robin ?

Il n'existe à l'heure actuelle aucun mode de protection connu contre Raspberry Robin. Charge donc aux entreprises d'éviter que leurs employées branchent des appareils USB suspects sur leur réseau. Une mesure d'hygiène numérique banale, mais qui n'est pas toujours respectée, les grands réseaux étant particulièrement compliqués à surveiller.

Une fois le mal fait, là encore ce n'est pas clair : les chercheurs ne savent pas exactement à quel point Raspberry Robin est difficile à désinstaller d'une machine. Le logiciel malveillant déploierait d'ailleurs un fichier destiné à résister aux tentatives de suppression.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 06/07/2022 à 17:16
Signaler
Une information passionnante en effet d'autant que windows c'est tourné vers une interaction totale avec internet, cela a un nom dont je ne me souviens plus, qui certes le rend encore plus rapide et efficace mais ne pouvant que l'exposer toujours plu...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.