La cyberarme Flame n’en finit pas de nous étonner. Les experts en sécurité de Kaspersky et Symantec, en collaboration avec les centres d’alerte Bund Cert et ITU-Impact, viennent de terminer une analyse approfondie de deux serveurs de contrôle et de commande (C&C), tombés entre leurs mains. La première analyse datait du mois de juin.
L’une des conclusions de ce nouveau travail d’investigation est que Flame fait partie d’un arsenal plus large. Les auteurs de Flame ont créé au moins trois autres virus qui, jusqu’à présent, n’ont pas encore été découverts. Et l’un de ces trois virus est actuellement en pleine activité.
En effet, une analyse de code a révélé que les serveurs de C&C pouvaient piloter quatre types de « logiciels clients » (i.e. des virus installés sur des ordinateurs), aux noms de code SP, SPE, IP et FL, ce dernier correspondant à notre vieil ami Flame. Les autres sont inconnus au bataillon. Une analyse des protocoles de communication implémentés au niveau du système de C&C indique qu’il ne s’agit ni de Gauss, ni de Stuxnet, deux autres supervirus découverts par le passé.
Flame est un modèle ancien
Néanmoins, les chercheurs ont montré que le virus au nom de code SPE est actuellement en pleine activité : il a laissé des traces de connexions dans un piège à trafic (sinkhole). Il s’avère également que Flame n’est pas le dernier-né dans cet arsenal de cyberarmes : le virus le plus récent est celui au nom de code IP. Il utilise d’ailleurs un protocole de communication assez différent des autres. Ce qui suggère qu’il serait plus sophistiqué que Flame. Le développement de cet arsenal n’est d’ailleurs pas terminé. Sur les quatre protocoles de communication identifiés par les chercheurs, il y en avait un qui n’était que partiellement implémenté (RedProtocol).
Autre nouveauté : Flame existe depuis au moins 2006. Ce fait est révélé par les logs qu’ont laissés les développeurs sur les serveurs de C&C. Cela ne veut pas dire que le virus était déjà actif depuis cette année, mais cela prouve qu’il a pu opérer dans l’ombre pendant de longues années. « La plateforme Flame est plus bien plus ancienne que nous pensions », soulignent les chercheurs de Kaspersky.
Un système camouflé en CMS
D’ailleurs, l’une des raisons qui explique pourquoi Flame n’a pas fait de vagues est l’aspect inoffensif de l’interface d’administration. Celle-ci permet de diffuser des modules sur les ordinateurs infectés et de récupérer des paquets de données volées. Baptisée « Newsforyou », cette interface est très sobre et n’utilise que des termes génériques comme data, upload, download, client, news, blog, ads, backup, etc. « Les développeurs ont fait en sorte à ce que cela ressemble à une plateforme légale de gestion de contenu », estiment les chercheurs de Kaspersky.
Enfin, il s’avère que l’utilisation de la plateforme Flame s’effectuait selon un jeu de rôles bien huilé. Ainsi, les chercheurs de Symantec dénombrent trois types d’utilisateurs : des administrateurs pour la configuration et la maintenance des serveurs, des opérateurs d’attaques qui téléchargent des modules sur les ordinateurs-cibles et récupèrent les données volées et des coordinateurs d’attaques qui planifient les opérateurs et détiennent les clés pour chiffrer les données qui circulaient entre les serveurs et les ordinateurs-cibles.
Ce système très hiérarchisé empêche les opérateurs de mettre la main sur les données sensibles (les modules opérationnels, les données volées) et les réduit à de simples exécutants. Un fonctionnement quasi militaire qui prouve, une fois de plus, que Flame est l’œuvre d’une organisation étatique et non d’un hacker même très talentueux.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.