Ils ont piraté Twitter, Facebook, Apple et Microsoft et une quarantaine d’autres grandes entreprises durant ces trois dernières années. Ils ont un très bon niveau technique, et ils gagnent beaucoup d’argent. Bienvenue dans le monde de Butterfly, un groupe de pirates qui s’est spécialisé dans l’espionnage économique, des mercenaires probablement employés par des investisseurs ou des concurrents qui sont à la recherche d’informations confidentielles. C’est en tous les cas la conclusion à laquelle est venu Gavin O’Gorman. Cet analyste de Symantec a présenté aujourd’hui les détails techniques des attaques de Butterfly à l’occasion de la conférence de sécurité Botconf 2015, à Paris.
La piste du vol d’informations confidentielles a été particulièrement flagrante pour une compagnie aérienne nord-américaine et une société pharmaceutique. Dans les deux cas, le piratage a été exécuté peu de temps après la parution d’un article de presse qui annonçait un changement important pouvant influer sur le cours de bourse. « Ils pénètrent le réseau, volent les informations et les revendent à des brokers. Pour ces derniers, c’est finalement une façon très efficace de faire de l’argent, car l’opération est très difficile à pister », explique le chercheur.
En tous les cas, les affaires marchent visiblement très bien pour ces pirates, car ils utilisent des failles zero-day qu’ils achètent très probablement à la demande sur le marché noir. Compte tenu de la rapidité d’exécution de leurs campagnes, ils ne pourraient pas attendre que l’un d’entre eux mette la main sur une telle vulnérabilité. Ainsi, en février 2013, lorsqu’ils ont attaqué les sociétés high-tech, ils se sont appuyé sur une faille zero-day Java. En 2014, ils ont utilisé une faille zero-day dans Internet Explorer 10. « Une telle faille dans Internet Explorer coûte au moins 100.000 dollars, voire même plusieurs centaines de milliers de dollars », souligne Gavin O’Gorman.
Le niveau technique des pirates « n’est pas démentiel », mais suffisamment élevé pour susciter l’étonnement chez l’analyste de Symantec. Il a pu récupérer l’image d’un des serveurs de commande et contrôle (C&C). Celui-ci ne comportait rien, mise à part un gros fichier de 400 Go intitulé « HD-porn-corrupted_tofix.rar ». Evidemment, il ne s’agit pas réellement d’un fichier X, mais du fichier d’une machine virtuelle VirtualBox chiffrée en TrueCrypt. Les opérations de piratage étaient réalisées au travers de cette machine. Une fois terminées, rien d’exploitable ne pouvait être récupéré sur la machine physique, même en cas de perquisition. « C’est la première fois que je vois un telle niveau de sécurité opérationnelle dans un serveur C&C », ajoute Gavin O’Gorman qui, en revanche, a remarqué certaines lacunes au niveau de la détection de moteurs antivirus et ou du camouflage de processus en mémoire. C’est une raison de plus pourquoi Symantec ne pense pas qu’il s’agit là d’un service secret, car les agences de renseignement maitrisent plutôt bien ces sujets.
Peut-être basé aux Etats-Unis
Au niveau de l’équipe, plusieurs indices relatifs à la langue et aux horaires d’activité semblent indiquer qu’il s’agit d’un petit groupe dispersé aux quatre coins du monde, mais basé aux Etats-Unis. Par ailleurs, son niveau de dangerosité semble également plus élevé que pour d’autres groupes d’espionnage similaires. « Dans un cas, ils ont réussi à accéder physiquement à l’ordinateur d’une victime dans son domicile pour installer un malware », relate Gavin O’Gorman. Un mode opératoire qui fait penser au contre-espionnage et qui explique pourquoi l’analyste n’a pas voulu être filmé pendant sa présentation.
Symantec a publié un livre blanc en juillet dernier sur Butterfly, avec la clé de nombreux détails techniques. « Depuis, nous ne percevons plus aucune activité sur ce groupe. Il est probable qu’il soit en train de renouveler tous ses outils », ajoute l’analyste. Mais une chose est certaine, Butterfly frappera à nouveau.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.