Kaspersky Lab publie aujourd’hui une nouvelle étude identifiant une campagne de cyberespionnage visant des représentations diplomatiques, des administrations et des organismes de recherche scientifique dans plusieurs pays depuis au moins cinq ans. Les cibles de cette campagne sont essentiellement des pays d’Europe de l’Est, des républiques de l’ex-URSS ou encore des pays du Moyen-Orient, même si les victimes peuvent se trouver partout, y compris en Europe occidentale et en Amérique du Nord. Les attaques ont pour principal objectif de collecter, au sein des organisations touchées, des documents confidentiels renfermant des renseignements géopolitiques, des codes d’accès à des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des équipements réseau.

En octobre 2012, l’équipe d’experts de Kaspersky Lab a entrepris une enquête à la suite d’une série d’attaques contre des réseaux informatiques ciblant des services diplomatiques internationaux. L’enquête a permis de mettre à jour et d’analyser un réseau de cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l’opération «Red October» (ou, en abrégé «Rocra») qui aurait débutée en 2007 se poursuit encore en janvier 2013.

Principaux résultats de l’enquête

Red October, un réseau évolué de cyberespionnage : les attaques, actives depuis au moins 2007, se concentrent sur les représentations diplomatiques et les administrations de divers pays à travers le monde, mais aussi sur des organismes de recherche, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l’aéronautique. Leurs auteurs ont conçu un malware spécifique, identifié sous l’appellation «Rocra», qui possède sa propre architecture modulaire comprenant des extensions malveillantes, des modules destinés à dérober des informations et des chevaux de Troie de type «backdoor».

Les pirates ont souvent exploité des informations obtenues sur les réseaux infectés pour s’introduire dans d’autres systèmes. Par exemple, des identifiants volés ont été collectés et utilisés dans le cadre d’attaques pour découvrir des mots de passe donnant accès à ces systèmes.

Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays, dont la majorité en Allemagne et en Russie. L’analyse par Kaspersky Lab de l’infrastructure de commande et de contrôle (C&C) de Rocra révèle que la chaîne de serveurs opère telle une série de proxies afin de masquer l’adresse réelle du serveur principal.

Les informations dérobées sur les systèmes infectés se trouvent dans des documents présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particulier, les extensions «acid*» paraissent correspondre à des fichiers du logiciel cryptographique «Acid Cryptofiler», utilisé par plusieurs entités allant de l’Union européenne à l’OTAN.

Processus d’infection des victimes

L’infection de systèmes lors d’une attaque passe par l’envoi aux victimes d’un e-mail ciblé de type «spear phishing» (harponnage) contenant un cheval de Troie personnalisé (dropper). Pour installer le malware et infecter le système, l’e-mail malveillant exploite spécifiquement des failles de sécurité dans Microsoft Office et Microsoft Excel. Cette technique a déjà été employée au cours de différentes cyberattaques, menées notamment contre des militants tibétains ou des cibles dans le secteur de la défense et de l’énergie en Asie. La seule différence réside dans le code de l’exécutable utilisé par Rocra. En particulier, l’une des commandes du cheval de Troie active par défaut, pour la session d’invite de commande, la page de code 1251, nécessaire pour la restitution des polices de caractères cyrilliques.

Victimes et entités ciblées

Les experts de Kaspersky Lab ont appliqué deux méthodes pour analyser les cibles.

En premier lieu, ils ont exploité les statistiques de détection du réseau Kaspersky Security Network (KSN), le service cloud de sécurité auquel font appel les produits de Kaspersky Lab afin d’effectuer des mesures à distance et d’offrir une protection évoluée contre les menaces sous la forme de listes noires et de règles heuristiques. KSN a détecté le code malveillant dès 2011, ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à Rocra. La deuxième méthode mise en œuvre a consisté à créer un sinkhole (serveur appât) de façon à pouvoir surveiller les connexions des machines infectées aux serveurs C&C de Rocra. Les données reçues pendant l’analyse par l’une et l’autre méthode ont fourni des bases indépendantes de corrélation et de confirmation des résultats.

• Statistiques KSN : plusieurs centaines de systèmes infectés distincts ont été détectés par les données de KSN, se situant essentiellement dans des ambassades, des réseaux et des organismes gouvernementaux, des instituts de recherche scientifique et des consulats. Selon ces observations, la majeure partie se trouve en Europe de l’Est, mais d’autres infections ont été également identifiées en Amérique du Nord et dans des pays d’Europe occidentale, par exemple la Suisse et le Luxembourg.
• Statistiques du sinkhole : l’analyse du serveur appât de Kaspersky Lab s’est déroulée du 2 novembre 2012 au 10 janvier 2013. Durant de cette période, plus de 55 000 connexions provenant de 250 adresses IP infectées ont été enregistrés dans 39 pays, en majorité originaires de la Suisse, suivie du Kazakhstan et de la Grèce.

Le malware Rocra : une architecture et des fonctionnalités spécifiques

Les pirates ont créé une plate-forme d’attaque multifonction regroupant plusieurs extensions et fichiers malveillants conçus pour s’adapter rapidement à différentes configurations de systèmes et collecter des renseignements sur les machines infectées. Cette plate-forme est spécifique à Rocra et n’avait pas encore été identifiée par Kaspersky Lab dans de précédentes campagnes de cyberespionnage.

Parmi ses caractéristiques notables :

• Module de «résurrection» : ce module original permet de «ressusciter» les machines infectées. Intégré sous forme de plug-in dans les installations Adobe Reader et Microsoft Office, il offre aux auteurs des attaques un moyen infaillible d’accéder de nouveau à un système cible si le composant principal du malware est découvert et éliminé ou si un correctif est appliqué. Une fois que le dispositif C&C est redevenu opérationnel, les pirates envoient par e-mail aux machines visées un document spécial (PDF ou Office) dans le but de réactiver le malware.
• Modules d’espionnage cryptographique avancé : ces modules d’espionnage ont principalement pour objectif le vol d’informations, notamment des fichiers issus de différents systèmes cryptographiques, tels que Acid Cryptofiler qui est notoirement utilisé depuis l’été 2011 pour la protection d’informations sensibles au sein de l’OTAN, de l’Union européenne, du Parlement européen et de la Commission européenne.
• Terminaux mobiles : en dehors des postes de travail classique, le malware est également capable de dérober des données sur des mobiles, notamment des smartphones (iPhone, Nokia et Windows Mobile). Il peut aussi récupérer des informations de configuration sur des équipements réseau (routeurs, commutateurs), ainsi que dans des fichiers effacés sur des supports amovibles.

Identification des attaques : compte tenu des données d’enregistrement des serveurs C&C et des nombreux indices laissés dans les fichiers exécutables du malware, il existe de solides preuves techniques indiquant que les auteurs des attaques sont d’origine russophone. En outre, ces exécutables étaient inconnus jusqu’à une date récente et n’ont pas été identifiées par les experts de Kaspersky Lab au cours de l’analyse d’attaques précédentes de cyberespionnage.

Kaspersky Lab, en collaboration avec des organisations internationales, les pouvoirs publics et les équipes CERT (Computer Emergency Response Teams) poursuit ses investigations sur Rocra en apportant son expertise et ses ressources techniques dans le cadre des procédures de correction et de neutralisation.

Kaspersky Lab tient à exprimer sa gratitude aux équipes CERT aux Etats-Unis, en Roumanie et en Biélorussie pour leur concours à l’enquête.

Le malware Rocra est détecté, bloqué et neutralisé avec succès par les produits de Kaspersky Lab, sous la classification Backdoor.Win32.Sputnik.

Le rapport complet d’enquête établi par les experts de Kaspersky Lab est disponible sur le site Securelist.