ProjectSauron, la nouvelle menace sophistiquée du cyber-espionnage
C’est la toute nouvelle découverte de Kaspersky Lab. Complexe et sophistiqué, ProjectSauron a échappé aux radars de la sécurité informatique pendant 5 ans. Un Etat est probablement à l’origine de ce logiciel visant le cyber-espionnage.
Tout commence en septembre 2015, lorsque Kaspersky Lab, société russe spécialisée dans la sécurité des systèmes d’information, découvre une anomalie sur le réseau d’une de ses organisations clientes.
Une anomalie qui a amené les chercheurs de Kaspersky vers la découverte d’un nouveau logiciel d’espionnage baptisé «ProjectSauron», qui cible principalement les organisations gouvernementales. Les attaques semblent avoir pour objectif principal le cyber-espionnage.
En effet, une trentaine d’organisations victimes de ProjectSauron ont été identifiées, principalement en Russie, en Chine, en Iran, en Belgique, en Suède, au Rwanda ainsi que dans des pays italophones. Des organisations qui, selon Kaspersky, jouent un rôle central dans la fourniture de services publics: gouvernement, militaire, recherche scientifique, télécommunications et services financiers. "D’autres organisations sont probablement touchées dans d’autres endroits", estime Kaspersky, dans un communiqué qu'il vient de publier.
Les premières analyses font ressortir que ProjectSauron a pour objectif prioritaire l’accès aux communications chiffrées: le logiciel recherche activement des informations concernant un logiciel de chiffrement réseau sur-mesure relativement rare, mais largement adopté par plusieurs des organisations ciblées afin de sécuriser leurs communications et leurs échanges emails, voix et documents: "Les attaquants sont particulièrement intéressés par les composants du logiciel de chiffrement, ses clés, ses fichiers de configuration ainsi que l’emplacement des serveurs qui relaient les messages", ajoute Kaspersky.
A cet égard, le nom octroyé par Kaspersky au logiciel espion émane de l’allusion faite à "Sauron" dans le code source de celui-ci, "Sauron" étant un personnage figurant dans la célèbre trilogie du "Seigneur des anneaux" de l’écrivain britannique J.R.R. Tolkien. Horrible et terrifiant, Sauron est omniscient: il est doté d’un oeil qui peut voir partout.
Les analyses de Kasperksy révèlent que ProjectSauron est opérationnel depuis juin 2011 et continue d’être actif. Le vecteur d’infection initial utilisé pour pénétrer sur le réseau des victimes demeure inconnu, et la complexité du logiciel demeure à l’origine du retard de sa détection, ses implants et infrastructures s’adaptant spécifiquement à chaque cible sans jamais être réutilisés.
En effet, ses implants ont des tailles et des noms de fichiers qui varient selon la cible. En d’autres termes, ProjectSauron change de forme d’un environnement à l’autre, auquel cas les indicateurs de compromission de base de la sécurité informatique ne s’avèrent pas trop utiles.
Cet aspect, combiné à la multiplicité des chemins pour exfiltrer les données volées, comme par exemple des canaux d’emails légitimes, permet à ProjectSauron de réaliser des campagnes secrètes d’espionnage de longue durée sur les réseaux ciblés.
Par ailleurs, le logiciel est également capable d’exfiltrer les informations à partir d’ordinateurs non connectés à Internet à l’aide de clés USB, contenant des compartiments cachés dans lesquels sont dissimulées les données dérobées.
"ProjectSauron repose sur des outils solides, faits maison et des scripts personnalisables. En plus de l’utilisation de techniques de pointe empruntées à d’autres groupes de menace, l’usage unique d’indicateurs spécifiques, comme le serveur de contrôle, les clés de chiffrement et d’autres, est relativement nouveau", note Vitaly Kamluk, chercheur en sécurité chez Kaspersky Lab.
Pour étoffer la théorie du cyber-espionnage, Kasperksy avance que "le coût, la complexité, la persistance et les objectifs finaux de cette opération, à savoir le vol d’informations confidentielles et secrètes à des organisations critiques, semble indiquer qu’elle pourrait impliquer ou être soutenue par un Etat". Kasperksy n’avance toutefois pas de nom.
"Le seul moyen de résister à ce type de menace est d’utiliser plusieurs couches de sécurité, basées sur une chaîne de capteurs capables de remarquer la plus petite anomalie dans le flux d’informations de l’entreprise. À cela doivent être associées des capacités de veille et d’intelligence des menaces pour traquer des schémas et des comportements, même lorsqu’il semble n’y en avoir aucun", continue M. Kamluk.
Les analyses révèlent que ProjectSauron est opérationnel depuis juin 2011 et continue d’être actif en 2016. Le vecteur d’infection initial utilisé pour pénétrer sur le réseau des victimes reste inconnu, conclut Kaspersky.
