L’éditeur a mis la main sur un logiciel d’espionnage particulièrement furtif et complexe. D’après l’analyse du code source et des victimes, il semblerait qu’il soit lié au service secret israélien. Il a été utilisé, en particulier, pour espionner les négociations politiques sur le nucléaire iranien.
Dans les locaux moscovites de Kaspersky, ce fut une bien mauvaise surprise. Lors d’un test informatique, au début du printemps, les chercheurs en sécurité découvrent qu’ils sont victimes depuis des mois d’un logiciel espion particulièrement furtif. Celui-ci génère très peu de trafic réseau, se déplace lentement de poste en poste et ne laisse aucune trace sur les systèmes infectés.
« Il ne crée aucun fichier sur le disque, ne modifie pas la base de registre. Le malware est uniquement exécuté en mémoire. C’est une attaque presque totalement invisible », souligne Eugene Kaspersky, PDG de l’éditeur, à l’occasion d’une conférence de presse à Londres.
En décortiquant l’animal et en le pistant à travers la Toile, l’éditeur se rend compte de toute sa complexité. Pour s’introduire dans les réseaux et se diffuser de poste en poste, le code malveillant s’est appuyé sur trois failles 0day que Microsoft a depuis corrigées. Quant au module d’espionnage proprement dit, il dispose d’au moins une centaine de plugins différents: cartographie du réseau, extraction de données, accès à distance, recherche de fichiers, vol de mots de passe, etc. Bref, c’est une vraie plateforme professionnelle que seul un acteur étatique a pu mettre en place. « Ce malware a pu coûter une dizaine de millions de dollars et mobiliser une équipe d’ingénieurs pour le développement et le support », estime Eugene Kaspersky.
Un rejeton lointain de Stuxnet
Mais le plus intéressant, c’est que le code source du malware n’est pas totalement inconnu. C’est une évolution de Duqu, un logiciel d’espionnage découvert en septembre 2011, cousin du fameux Stuxnet. Pour Kaspersky, aucun doute n’est permis : « Cette nouvelle version n’aurait pas pu être réalisée sans l’accès au code source de Duqu version 2011.
Nous en concluons que les auteurs sont les mêmes ou alors qu’ils travaillent ensemble », peut-on lire dans le rapport technique de Kaspersky. C’est pourquoi, l’éditeur a baptisé ce malware « Duqu 2.0 ».
On ne sait pas encore vraiment comment ce malware s’est introduit chez Kaspersky, mais il est probable que les attaquants aient utilisés des emails de « spearfishing ». Le but de l’attaque semble être l’espionnage des technologies de Kaspersky : les outils utilisés par les chercheurs, les recherches en cours, les méthodes de détection, etc.
Mais qui se cache derrière cette attaque très sophistiquée ? Kaspersky ne se risque à aucune attribution et se limite volontairement à des considérations techniques. Selon The Wall Street Journal, qui s’appuie sur des sources gouvernementales, Duqu était l’œuvre du service secret israélien.
Il est donc probable que Duqu 2.0 le soit aussi. D’autant plus que cela cadrerait avec les autres victimes. Les analyses de Kaspersky ont établi que Duqu 2.0 a également attaqué trois hôtels de luxe en Suisse dans lesquels ont eu lieu les négociations dites « P5+1 » sur le nucléaire iranien.
Un sujet hautement sensible pour l’état israélien. Selon l’éditeur, des attaques ont également été menées dans le cadre du 70e anniversaire de la libération d’Auschwitz-Birkenau. D’autres victimes ont pu être localisées dans « des pays occidentaux, au Moyen-Orient et en Asie ».
Quoiqu’il en soit, la découverte de Duqu 2.0 montre que les gouvernements sont plus que jamais engagés dans une surenchère du cyberespionnage, avec à la clé des procédés de plus en plus évolués. « C’est une très mauvais nouvelle. Toutes ces techniques se retrouveront tôt ou tard dans les mains des cybercriminels, qui sont eux-mêmes de plus ou plus courtisés par la criminalité traditionnelle.
J’ai peur que tout ceci nous mènera bientôt au cyberterrorisme », conclut Eugene Kaspersky. D’une certaine manière, les gouvernements et leurs services secrets représenteraient aujourd’hui la plus grande menace pour la sécurité de l’Internet, en raison de leurs énormes ressources financières et intellectuelles !