Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Enquête sur un incident : vol dans une banque électronique



Courrier indésirable en août 2014



Les prédateurs sur Internet



Livraison des diffuseurs de spam : danger garanti



Evolution des menaces informatiques au 2e trimestre 2014
 
 

  Page d'accueil / Analyses

Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme

20.12.2012   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
  1. Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
  2. Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
  3. Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme

A la fin de l'année 2012, seuls deux cas d'utilisation de cyber-armes avaient été enregistrés : Stuxnet et Duqu. Toutefois, l'analyse de ces deux programmes a entraîné un élargissement sensible de la représentation théorique de la "cyber-guerre" chez les spécialistes informatiques.

Les événements de 2012 ont non seulement contribué à l'augmentation du nombre d'incidents réels impliquant des cyber-armes, mais ils ont mis en évidence l'implication de longue date de divers pays dans le développement d'un cyber-arsenal. Ce sujet, qui jusque là appartenait au domaine des projets secrets et des idées, a été largement abordé dans la presse en 2012.

De plus, le sujet de la cyber-guerre est devenu en 2012 un des thèmes principaux des rencontres publiques entre les représentants de plusieurs Etats. On peut dès lors affirmer que 2012 aura été une année charnière dans ce domaine, non seulement au niveau du nombre d'incidents, mais aussi au niveau de la création d'une opinion publique sur la création d'un cyber-arsenal.

Situation dans le monde

La zone d'utilisation des cyber-armes s'est élargie en 2012 : alors que l'Iran avait été le seul pays touché jusqu'à présent, toute la région de l'Asie de l'Ouest est désormais touchée. Cette dynamique reflète parfaitement les processus politiques qui se développent dans cette région, considérée depuis longtemps déjà comme un "point chaud".

Et alors que la région connaissait déjà des tensions en raison du programme nucléaire iranien, les crises politiques en Egypte et en Syrie en 2012 ont rendu l'atmosphère plus volatile encore. Le Liban, l'Autorité palestinienne, les troubles dans plusieurs pays du golf persique viennent contribuer à cette notion d'instabilité.

Dans un tel contexte, il est tout à fait logique que des Etats qui possèdent des intérêts dans la région souhaitent utiliser tous les outils à leur disposition pour protéger leurs intérêts et recueillir des renseignements.

C'est ce qui explique pourquoi la région a été touchée par plusieurs incidents sérieux qui, après analyse, peuvent être considérés comme des cas d'utilisation de cyber-armes.

Duqu

Ce programme malveillant espion, détecté en septembre 2011 et présenté dans la presse en octobre, a été étudié par les experts de Kaspersky Lab. Au cours de ce travail, les chercheurs ont pu accéder à plusieurs serveurs d'administration utilisés par Duqu et recueillir un volume considérable d'informations sur l'architecture de l'application et sur son histoire. Ainsi, les chercheurs ont pu confirmer que Duqu est un développement de la plateforme Tilded sur laquelle repose un autre ver connu : Stuxnet. De plus, l'existence d'au moins trois autres programmes qui utiliserait la même plateforme que Duqu/Stuxnet a été établie, mais ceux-ci n'ont pas été découverts pour l'instant. L'attention et l'activité manifestées par les chercheurs ont poussé les opérateurs de Duqu à tenter de supprimer toutes les traces de leur travail sur les serveurs d'administration et dans les systèmes infectés.

A la fin de l'année 2011, Duqu n'existait plus dans la nature. Toutefois, à la fin du mois de février 2012, les spécialistes de Symantec détectaient en Iran une nouvelle version d'un pilote semblable à celui utilisé dans Duqu, mais dont la création remontait au 23 février 2012.

Le module principal n'a pas été détecté et à ce jour, aucune nouvelle modification de Duqu n'a été détectée.

Wiper

Un mystérieux cheval de Troie a sérieusement inquiété les autorités iraniennes à la fin du mois d'avril 2012 : surgi de nul part, il a détruit de nombreuses bases de données dans des dizaines d'organisations. C'est le plus grand terminal pétrolier iranien qui a le plus souffert. Ses opérations durent être suspendues pendant plusieurs jours car les données relatives aux contrats pétroliers avaient été supprimées.

Toutefois, aucun exemplaire du programme malveillant utilisé dans ces attaques n'a été trouvé, ce qui a amené de nombreux observateurs à s'interroger sur l'exactitude des renseignements repris dans les médias.

Suite à ces incidents, l'Union internationale des télécommunications (UIT) a commandité à Kaspersky Lab une étude sur les conséquences dévastatrices potentielles de ce nouveau programme malveillant.

Les créateurs de Wiper ont tout fait pour supprimer la moindre donnée qui aurait pu servir à analyser les incidents. Ainsi, dans chacun des cas que nous avons analysé, il ne restait pratiquement aucune trace du programme malveillant après l'activation de Wiper.

Au cours de nos recherches sur cette attaque malveillante secrète organisée au mois d'avril, nous avons pu analyser les images de plusieurs disques durs victimes de Wiper. Nous pouvons affirmer que ces incidents ont bel et bien eu lieu et que le programme malveillant utilisé dans le cadre de ces attaques existait en avril 2012. De plus, nous avons eu connaissance de quelques événements très semblables enregistrés en décembre 2011.

En général, ces attaques ont eu lieu au cours de la dernière décade du mois (du 21 au 30), mais nous ne sommes pas en mesure de dire si cela était dû à une fonction spéciale activée à la date indiquée.

Quelques semaines après le début de notre enquête, nous n'avions toujours pas trouver de fichiers du programme malveillant dont les propriétés auraient pu correspondre à Wiper, bien connu des hackers. Toutefois, nous avons repéré une campagne de cyber-espionnage menée au niveau des Etats, connue aujourd'hui sous le nom de Flame ainsi qu'un autre système de cyber-espionnage baptisé Gauss.

Flame

Flame est un ensemble très rusé d'outils qui permet de mener des attaques bien plus complexes que Duqu. Ce cheval de Troie est une porte dérobée qui présente également des caractéristiques propres aux vers et qui permettent au programme de se propager sur le réseau local et via des disques amovibles sur instruction de son maître.

Une fois le système infecté, Flame exécute une succession d'opérations complexe dont l'analyse du trafic réseau, des captures d'écran, l'enregistrement de conversations, l'interception des frappes au clavier, etc. Les opérateurs ont accès à l'ensemble de ces données via les serveurs de commande de Flame. Ensuite, les opérateurs peuvent décider de télécharger des modules complémentaires sur les ordinateurs infectés en vue d'enrichir les fonctionnalités de Flame. Au total, ce sont près de 20 modules qui ont été identifiés.

Flame contenait un fonction unique de propagation via le réseau local basée sur l'interception des requêtes Windows pour la mise à jour et leur remplacement par son propre module signé par un certificat Windows. L'analyse de ce certificat a permis d'identifier le recours à une crypto-attaque qui permettait aux individus malintentionnés de créer leur propre faux certificat en tout point égal au certificat légitime.

D'après les données dont nous disposons, le début du développement de Flame remonte aux alentours de 2008 à peu près et n'a pas faibli jusqu'à la découverte du programme en mai 2012.

De plus, nous avons pu confirmé qu'un des modules de la plateforme Flame avait été utilisé en 2008 en guise de module de diffusion du ver Stuxnet. Cet élément témoigne de la collaboration étroite entre les deux groupes de développeurs des plateformes Flame et Tilded. Il y a même eu des échanges de code source.

Gauss

Après la découverte de Flame, nous avons appliqué quelques méthodes heuristiques qui reposaient sur l'analyse de la ressemblance du code et très vite, nous avons enregistré un nouveau succès. Vers le milieu du mois de juin, nous avons détecté un autre programme malveillant développé sur la plateforme Flame mais qui se distinguait par sa fonction et sa zone de diffusion.

Gauss est un en ensemble complexe d'outils de cyber-espionnage qui est le fruit des travaux du groupe à l'origine de la plateforme malveillante Flame. Cet ensemble possède une structure modulaire et prend en charge le déploiement à distance de nouvelles fonctionnalités introduites sous la forme de modules complémentaires. Les modules connus à ce jour remplissent les fonctions suivantes :

  • interception des cookies et des mots de passe dans le navigateur ;
  • collecte des données de configuration du système et transfert de celles-ci aux individus malintentionnés ;
  • infections de clés USB par un module développé pour le vol de données ;
  • création de listes du contenu des dossiers et support système ;
  • vol des données d'accès à divers systèmes bancaires utilisés au Proche-Orient ;
  • interception des données des comptes de réseaux sociaux, de messagerie en ligne et de messageries instantanée.

Les modules possèdent des dénominations internes qui rendent hommage à de grands mathématiciens et philosophes tels que Kurt Gödel, Johan Carl Friedrich Gauss et Joseph Louis Lagrange.

Sur la base des résultats de notre analyse et des éléments d'horodatage dans les modules malveillants dont nous disposions, nous sommes parvenus à la conclusion que Gauss a commencé à fonctionner en août/septembre 2011. A partir de la fin du mois de mai 2012, le service de protection dans le nuage de Kaspersky Lab a enregistré plus de 2 500 infections par Gauss ; ceci étant dit, nos estimations portent le nombre global de victimes du programme malveillant à plusieurs dizaines de milliers.

La majorité absolues des victimes de Gauss vivait au Liban. Il y a également eu des victimes en Israël et en Palestine. De plus, un nombre restreint de victimes a été enregistré aux Etats-Unis, aux Emirats Arabes Unis, au Quatar, en Jordanie, en Allemagne et en Egypte.

miniFlame

Au début du mois de juillet 2012, nous avons détecté un petit module intéressant développé sur la plateforme Flame. Ce programme malveillant, que nous avons baptisé miniFlame, est une petit module d'espionnage multifonction capable de voler des informations et d'offrir un accès direct au système infecté. A la différence de Flame ou de Gauss utilisés dans des campagnes d'espionnage de grande envergure qui impliquaient l'infection de milliers d'ordinateurs, miniFlame/SPE réalise des frappes chirurgicales.

miniFlame repose bel et bien sur la plateforme Flame, mais il a été réalisé en tant que module indépendant capable de fonctionner de manière autonome en l'absence des modules principaux de Flame dans le système et en tant que composant de gestion de Flame. Il convient de souligner l'utilisation de miniFlame conjointement avec un autre logiciel espion : Gauss.

Tout semble indiquer que les premiers développements de miniFlame remontent à quelques années et qu'ils se sont poursuivis jusque 2012. D'après le code des serveurs d'administration, les protocoles pour SP et SPE ont été créés avant ou au même moment que le protocole de FL (Flame), ce qui voudrait dire que ce développement remonte au moins à 2007.

La fonction principale de miniFlame est celle d'une porte dérobée dans les systèmes infectés afin d'offrir un contrôle direct aux auteurs de l'attaque.

Le nombre de victimes de miniFlam est comparable à celui des victimes de Duqu.

Nom Nombre d'incidents (statistiques de Kaspersky Lab) Nombre d'incidents (approximatif)
Stuxnet Plus de 100 000 Plus de 300 000
Gauss Environ 2500 Environ 10 000
Flame (FL) Environ 700 Entre environ 5 000 et 6 000
Duqu Environ 20 Entre environ 50 et 60
miniFlame (SPE) Environ 10-20 Entre environ

Si on analyse l'ensemble des données relatives à tous les programmes malveillants de la catégorie cyber-arme détectés au cours de l'année écoulée, on voit très clairement un attrait pour une zone géographique en particulier.

De quoi s'agit-il ?

Notre expérience en matière de détection et d'analyse de tous les programmes malveillants cités ci-dessus nous permettent de formuler l'avis suivant sur les menaces modernes et leur classement.

La pyramide est l'image qui se prête le mieux à la représentation de la situation actuelle.

A la base de la pyramide, nous retrouvons les menaces les plus diverses. C'est que nous appelons la cybercriminalité "traditionnelle". Elle se caractérise par l'ampleur des attaques et la nature des victimes, à savoir les utilisateurs lambda. Le principal objectif des individus malintentionnés est de retirer des avantages financiers. Les chevaux de Troie bancaires, les clickers, les réseaux de zombies, les programmes d'extorsion les menaces mobiles, etc. représentent plus de 90 % des menaces modernes.

Le deuxième niveau de la pyramide reprend les menaces qui visent les organisations. Il s'agit d'attaques ciblées. On retrouve l'espionnage industriel et des attaques ciblées dont l'objectif est de discréditer la victime. Les auteurs des attaques se spécialisent dans un objectif concret ou travaillent pour un commanditaire concret. L'objectif à atteindre ici est le vol d'informations et de propriétés intellectuelles. Le gain financier direct n'est pas le principal motif des auteurs de ces attaques. Ce groupe reprend également divers types de programmes malveillants créés par des sociétés à la demandes des autorités judiciaires de plusieurs pays et qui sont vendues ouvertement. Citons par exemple, les produits des sociétés Gamma Group, Hacking Team SRL.

Le troisième niveau, le sommet de la pyramide, est occupé par les programmes qui appartiennent à la catégorie des cyber-armes. Il s'agit de tout programme malveillant développé et financé par les structures d'un Etat. Ces programmes malveillants sont utilisés contre des citoyens, des organisations ou des organismes d'autres pays.

Sur la base des exemplaires de ces programmes que tout le monde connaît, nous pouvons parler de trois catégories distinctes :

  • Les destructeurs Il s'agit de programmes développés pour détruire des bases de données ou toute information. Il peuvent prendre la forme de bombes logique introduites au préalable dans un système et déclenchées à un moment précis, ou déployées dans le cadre d'une attaque centralisée et activées sur le champ. Wiper est l'exemple le plus proche de ce genre de programmes.
  • Logiciels espion Ce groupe reprend Flame, Gauss, Duqu et miniFlame. Ils visent avant tout à recueillir toutes les informations possibles, principalement spécifiques (par exemple, données de projets Autocad, de systèmes SCADA, etc,) qui peuvent ensuite intervenir dans le développement d'autres groupes de menaces.
  • Outils de cyber-sabotage Il s'agit de la forme de cyber-arme la plus poussée. Ce sont les menaces qui permettent d'infliger des dégâts physiques aux objets victimes de l'attaque. Le vers Stuxnet appartient sans aucun doute à cette catégorie. Ce type de menace est unique et elle est rarement appliquée. Toutefois, au fil des années, les Etats vont déployer de plus en plus d'efforts pour développer ce type de menace en particulier ainsi que pour mettre au point des moyens de protection contre celle-ci.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
Bulletin de Kaspersky sur la sécurité en 2011. Principales statistiques pour 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com