Des analystes en SSI, en particulier issus de kaspersky Lab, publiait hier un article passionnant décrivant le système virale complexe désormais connu sous le nom de "Red October".
Selon l'analyse, ce malware présente un fort niveau de complexité matérialisé par plusieurs aspects : un nombre important de fonction et de modules créant une structure complexe composée de nombreux fichiers (plus de 1000), une capacité à demeurer "dans l'ombre" pendant plusieurs années selon l'auteur (traces d'exécution débutant vers 2007), une capacité de résilience matérialisée par une infrastructure disséminée et résistante à la perte des serveurs C&C.
L'étude montre également que le malware cible prioritairement des acteurs ou des entités gouvernementales ou impliquées dans des activités critiques (nucléaires, défense...). Autant les premières assertions relatives aux caractéristiques du malware se prouvent assez facilement, autant il faut croire sur parle l'auteur à propos des cibles supposées. Peut-être une action plus ou moins légale (piratage d'un serveur de l'infrastructure) aura permis d'acquérir des informations de ce type. On en rappelera les limites.
Comme cela est souvent le cas, des postes de travail ont été visés en utilisant en particulier des vulnérabilités propres au système de Microsoft et notamment de sa suite bureautique Office. Les failles utilisées montrent également une capacité d'évolution du malware puisque celui-ci utilise des vulnérabilités variables dans le temps (2010, 2011 et 2012 au moins) et qui n'existaient pas au moment de ses premières exécutions.
L'article rapporte également que des plateformes mobiles ont été visées par ce malware, pour le moment il semblerait que seul iPhone, Nokia et Windows Mobile soient en cause. Cela devra être confirmée par d'autres études. Il semblerait enfin que la méthodologie privilégiée pour l'infection soit un "classique" hameçonnage ciblé ou spear-phishing.
Une analyse basée sur le code et l'usage des certains termes transcrits du russe ou encore la référence à des messageries russes (mail.ru) permettent à l'auteur de pointer du doigt des éléments russes en ce qui concerne les modules (récupération des credentials, action sur les périphériques USB, "écoute"...). L'exploitation des vulnérabilités seraient d'origine chinoises en revanche.
On reste bien évidemment sceptique sur de telles assertions non pas en ce qui concerne l'auteur dont les compétences semblent excellentes. Mais des actions de ce type prévoient très probablement que le code sera découvert si l'on songe à ses autres capacités de résilience et si l'analyse ne révèle pas d'obfuscation du code, on peut songer à la possibilité de "faire mentir" le code afin d'éloigner les soupçons. Ceci n'étant qu'une possibilité.
Ce système viral s'ajoute donc à la liste des attaques réfléchies et menées avec prudence et circonspection, suffisamment pour demeurer discret pendant plusieurs mois ou années. Le ciblage concomitant des systèmes mobiles et fixes représentent ici une nouveauté intéressante qui tend à confirmer la volonté de "cibler" l'attaque.
Pour les férus de technique, d'autres articles suivront sur les médias cités. Edit : cette source a été ajoutée en première référence ci-dessous.
Sources :
Aucun commentaire:
Enregistrer un commentaire