COMMUNIQUÉ DE PRESSE - Kaspersky Lab – Newsroom Europe.

COMMUNIQUÉ DE PRESSE
Kaspersky Lab identifie l’opération «Red October», une campagne évoluée de
cyberespionnage ciblant les représentations diplomatiques et les administrations à
travers le monde
Ces attaques s’appuient sur des malwares spécifiques, agiles, capables de dérober des
données et des renseignements géopolitiques sur les systèmes informatiques, téléphones
mobiles et équipements réseau des victimes
Rueil-Malmaison, le 14 janvier 2012 - Kaspersky Lab publie aujourd’hui une nouvelle étude
identifiant une campagne de cyberespionnage visant des représentations diplomatiques, des
administrations et des organismes de recherche scientifique dans plusieurs pays depuis au
moins cinq ans. Les cibles de cette campagne sont essentiellement des pays d’Europe de l’Est,
des républiques de l’ex-URSS ou encore des pays du Moyen-Orient, même si les victimes
peuvent se trouver partout, y compris en Europe occidentale et en Amérique du Nord. Les
attaques ont pour principal objectif de collecter, au sein des organisations touchées, des
documents confidentiels renfermant des renseignements géopolitiques, des codes d’accès à
des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des
équipements réseau.
En octobre 2012, l’équipe d’experts de Kaspersky Lab a entrepris une enquête à la suite d’une
série d’attaques contre des réseaux informatiques ciblant des services diplomatiques
internationaux. L’enquête a permis de mettre à jour et d’analyser un réseau de
cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l’opération «Red
October» (ou, en abrégé «Rocra») qui aurait débutée en 2007 se poursuit encore en janvier
2013.
Principaux résultats de l’enquête
Red October, un réseau évolué de cyberespionnage : les attaques, actives depuis au moins
2007, se concentrent sur les représentations diplomatiques et les administrations de divers
pays à travers le monde, mais aussi sur des organismes de recherche, des groupes énergétiques
et nucléaires ou des entreprises dans le secteur du commerce ou de l’aéronautique. Leurs
auteurs ont conçu un malware spécifique, identifié sous l’appellation «Rocra», qui possède sa
propre architecture modulaire comprenant des extensions malveillantes, des modules destinés
à dérober des informations et des chevaux de Troie de type «backdoor».
Les pirates ont souvent exploité des informations obtenues sur les réseaux infectés pour
s’introduire dans d’autres systèmes. Par exemple, des identifiants volés ont été collectés et
utilisés dans le cadre d’attaques pour découvrir des mots de passe donnant accès à ces
systèmes.
Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60
noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays, dont la
majorité en Allemagne et en Russie. L’analyse par Kaspersky Lab de l’infrastructure de
commande et de contrôle (C&C) de Rocra révèle que la chaîne de serveurs opère telle une série
de proxies afin de masquer l’adresse réelle du serveur principal.
Page 1
Les informations dérobées sur les systèmes infectés se trouvent dans des documents
présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls,
wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk,
acidpvr, acidppr, acidssa. En particulier, les extensions «acid*» paraissent correspondre à des
fichiers du logiciel cryptographique «Acid Cryptofiler», utilisé par plusieurs entités allant de
l’Union européenne à l’OTAN.
Processus d’infection des victimes
L’infection de systèmes lors d’une attaque passe par l’envoi aux victimes d’un e-mail ciblé de
type «spear phishing» (harponnage) contenant un cheval de Troie personnalisé (dropper). Pour
installer le malware et infecter le système, l’e-mail malveillant exploite spécifiquement des
failles de sécurité dans Microsoft Office et Microsoft Excel. Cette technique a déjà été
employée au cours de différentes cyberattaques, menées notamment contre des militants
tibétains ou des cibles dans le secteur de la défense et de l’énergie en Asie. La seule différence
réside dans le code de l’exécutable utilisé par Rocra. En particulier, l’une des commandes du
cheval de Troie active par défaut, pour la session d’invite de commande, la page de code 1251,
nécessaire pour la restitution des polices de caractères cyrilliques.
Victimes et entités ciblées
Les experts de Kaspersky Lab ont appliqué deux méthodes pour analyser les cibles.
En premier lieu, ils ont exploité les statistiques de détection du réseau Kaspersky Security
Network (KSN), le service cloud de sécurité auquel font appel les produits de Kaspersky Lab afin
d’effectuer des mesures à distance et d’offrir une protection évoluée contre les menaces sous
la forme de listes noires et de règles heuristiques. KSN a détecté le code malveillant dès 2011,
ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à
Rocra.
La deuxième méthode mise en œuvre a consisté à créer un sinkhole (serveur appât) de façon à
pouvoir surveiller les connexions des machines infectées aux serveurs C&C de Rocra. Les
données reçues pendant l’analyse par l’une et l’autre méthode ont fourni des bases
indépendantes de corrélation et de confirmation des résultats.
 Statistiques KSN : plusieurs centaines de systèmes infectés distincts ont été détectés
par les données de KSN, se situant essentiellement dans des ambassades, des réseaux
et des organismes gouvernementaux, des instituts de recherche scientifique et des
consulats. Selon ces observations, la majeure partie se trouve en Europe de l’Est, mais
d’autres infections ont été également identifiées en Amérique du Nord et dans des
pays d’Europe occidentale, par exemple la Suisse et le Luxembourg.
 Statistiques du sinkhole : l’analyse du serveur appât de Kaspersky Lab s’est déroulée
du 2 novembre 2012 au 10 janvier 2013. Durant de cette période, plus de 55 000
connexions provenant de 250 adresses IP infectées ont été enregistrés dans 39 pays,
en majorité originaires de la Suisse, suivie du Kazakhstan et de la Grèce.
Le malware Rocra : une architecture et des fonctionnalités spécifiques
Les pirates ont créé une plate-forme d’attaque multifonction regroupant plusieurs extensions
et fichiers malveillants conçus pour s’adapter rapidement à différentes configurations de
systèmes et collecter des renseignements sur les machines infectées. Cette plate-forme est
spécifique à Rocra et n’avait pas encore été identifiée par Kaspersky Lab dans de précédentes
campagnes de cyberespionnage.
Parmi ses caractéristiques notables :
Page 2
 Module de «résurrection» : ce module original permet de «ressusciter» les machines
infectées. Intégré sous forme de plug-in dans les installations Adobe Reader et
Microsoft Office, il offre aux auteurs des attaques un moyen infaillible d’accéder de
nouveau à un système cible si le composant principal du malware est découvert et
éliminé ou si un correctif est appliqué. Une fois que le dispositif C&C est redevenu
opérationnel, les pirates envoient par e-mail aux machines visées un document spécial
(PDF ou Office) dans le but de réactiver le malware.
 Modules d’espionnage cryptographique avancé : ces modules d’espionnage ont
principalement pour objectif le vol d’informations, notamment des fichiers issus de
différents systèmes cryptographiques, tels que Acid Cryptofiler qui est notoirement
utilisé depuis l’été 2011 pour la protection d’informations sensibles au sein de l’OTAN,
de l’Union européenne, du Parlement européen et de la Commission européenne.
 Terminaux mobiles : en dehors des postes de travail classique, le malware est
également capable de dérober des données sur des mobiles, notamment des
smartphones (iPhone, Nokia et Windows Mobile). Il peut aussi récupérer des
informations de configuration sur des équipements réseau (routeurs, commutateurs),
ainsi que dans des fichiers effacés sur des supports amovibles.
Identification des attaques : compte tenu des données d’enregistrement des serveurs C&C et
des nombreux indices laissés dans les fichiers exécutables du malware, il existe de solides
preuves techniques indiquant que les auteurs des attaques sont d’origine russophone. En
outre, ces exécutables étaient inconnus jusqu’à une date récente et n’ont pas été identifiées
par les experts de Kaspersky Lab au cours de l’analyse d’attaques précédentes de
cyberespionnage.
Kaspersky Lab, en collaboration avec des organisations internationales, les pouvoirs publics et
les équipes CERT (Computer Emergency Response Teams) poursuit ses investigations sur Rocra
en apportant son expertise et ses ressources techniques dans le cadre des procédures de
correction et de neutralisation.
Kaspersky Lab tient à exprimer sa gratitude aux équipes CERT aux Etats-Unis, en Roumanie et
en Biélorussie pour leur concours à l’enquête.
Le malware Rocra est détecté, bloqué et neutralisé avec succès par les produits de Kaspersky
Lab, sous la classification Backdoor.Win32.Sputnik.
Le rapport complet d’enquête établi par les experts de Kaspersky Lab est disponible sur le site
Securelist.
Page 3
Salle de presse virtuelle Kaspersky Lab
Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe
(http://newsroom.kaspersky.eu). Destinée à l’ensemble des journalistes européens, celle-ci est
spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la
recherche d’informations sur l’entreprise et ses produits, de mettre à disposition des chiffres, des contenus
éditoriaux, des images, des vidéos et des fichiers audio.
À propos de Kaspersky Lab
Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La
société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les
particuliers*.
Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur le marché de la
sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les particuliers, les PME
et les grands comptes.
La société opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de 300
millions d'utilisateurs à travers le monde.
Pour en savoir plus www.kaspersky.com.
* La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue
by Vendor, 2010. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 20112015 Prévisions et parts de marché des fournisseurs 2010 – décembre 2011. Le rapport classe
les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2010.
Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.fr
Pour plus d’informations sur l’actualité virale : http://www.securelist.com
Suivez nous sur les réseaux sociaux !
Contacts presse :
Agence onechocolate
Edouard Fleuriau Chateau / Morgane Rybka
[email protected] ;
[email protected]
Tél. +33 1 41 3 75 16/06
© 2012 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules
garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent
lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant
une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre
technique ou éditorial pouvant exister dans ce document.
Page 4