Le roi est nu, enfin presque. Après des mois d’enquête, les chercheurs en sécurité de Kasperky ont mis la main sur une série de logiciels d’espionnage aussi complexes que Stuxnet, utilisés par un groupe qu’ils ont baptisé « Equation Group ». Celui-ci est actif depuis au moins 2001, utilise un vaste réseau de serveurs de commande et contrôle (plus d’une centaine) et a infecté plusieurs dizaines de milliers postes partout dans le monde. Vous l’aurez compris : derrière « Equation Group » se cache en réalité… la NSA. Kaspersky ne peut pas l’affirmer à partir des éléments en sa possession, même si beaucoup d’indices pointent dans cette direction. Toutefois, cela a été confirmé auprès de Reuters par un ancien membre de l’agence américaine. Le doute n’est donc pas possible.
Parmi la demi-douzaine de logiciels d’espionnage analysés, il y en a un qui surpasse tous les autres, car il est capable de reprogrammer (« flasher ») les firmwares de presque tous les disques durs du marché : Maxtor, Western Digital, Samsung, Toshiba, Seagate, Hitachi, IBM, Micron Technologies, etc. Dans quel but ? Pour y installer un mouchard ultrarésistant, impossible à supprimer pour le commun des mortels. Et qui reste opérationnel même après un formatage complet du disque dur ou une réinstallation du système d’exploitation. Ce module de reprogrammation de disque dur ne sert visiblement pas pour une surveillance de masse. Selon Kaspersky, sa présence est « extrêmement rare ». Son utilisation est probablement réservée à l’espionnage de quelques cibles très particulières.
Un système de fichier caché dans la base de registre
Mais cette fonction hors du commun n’est qu’un module d’une plateforme d’espionnage bien plus large, que Kaspersky a baptisé GreyFish. Une fois qu’un ordinateur Windows a été pénétré, celui-ci s’installe en toute douceur et reste quasi invisible. En effet, pour prendre pied dans le système, GrayFish infecte le Master Boot Record, ce qui lui permet de prendre le contrôle de toute la phase de démarrage de Windows. L’ordinateur est compromis avant même qu’il même que son système ne soit lancé. Mieux : lorsque Windows a démarré, GrayFish installe dans la base de registre un système de fichier autonome et virtuel, dans lequel viendront se loger tous les modules d’espionnage et les données à récupérer. Evidemment, tout est chiffré en permanence, même les exécutables, ce qui permet de ne pas se faire repérer par les logiciels antivirus. En cas de pépin, GrayFish s’autodétruit. Au niveau du codage, c’est donc un vrai travail d’orfèvre.
Pour infecter leurs victimes, Equation Group/NSA a plusieurs moyens à disposition, à commencer par un ver informatique baptisé « Fanny ». Créé en 2008, celui-ci a utilisé deux failles zero-day qui ont été découvertes plus tard dans… Stuxnet, le célèbre logiciel de sabotage qui a permis à la NSA de saboter le programme nucléaire iranien. Pour se propager, Fanny infecte des clés USB en y créant un espace de stockage caché. Une technique similaire à BadUSB, la faille découverte par les chercheurs de SRLabs.
Les CD-Rom sont un autre canal d’infection. Les espions d’Equation Group ont la capacité d’intercepter les disques optiques envoyés par voie postale à leurs victimes. Kaspersky cite deux exemples. Dans un cas, la victime a commandé les transcriptions audio/vidéo d’une conférence professionnelle à Houston. A l’arrivée, un pack de CD-Rom vérolés. Dans un autre cas, le malware était logé sur un CD d’installation d’Oracle Database. Au total, Kaspersky a dénombré sept failles permettant d’infecter les postes ciblés, dont quatre étaient à l’époque des zero-day. L’éditeur mentionne également l’exploitation de failles inconnues à ce jour – probablement zero-day – dans Firefox 17 et le navigateur Tor Browser Bundle.
Lire aussi:
La NSA et le GCHQ piratent les hackers pour voler les données qu’ils ont dérobées, le 05/02/2015
Source:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.