Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Opération Shady RAT, le piratage XXL

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Opération Shady RAT, le piratage XXL

Control Room

Soixante-douze victimes en cinq ans, dont plusieurs agences d’Etat, et des intrusions qui durent plusieurs mois, voire plusieurs années : l’opération de piratage révélée par McAfee est d’une envergure sans précédent.

Baptisée opération Shady RAT (pour Remote Access Tool), il ne s’agit d’après l’éditeur que d’un exemple parmi beaucoup d’autres. Seule différence : habituellement ces opérations ne sont pas rendues publiques, tandis que celle-ci est documentée dans un rapport de 14 pages parfaitement accessible.

Pour le reste il n’y a rien très de nouveau, ni d’un point de vue technique ni en ce qui concerne les victimes. Seule l’ampleur de cette opération la rend tristement significative.

Techniquement les attaquants ont suivi dès 2006 une approche devenue classique : un email de phishing ciblé (du spear phishing), un site web piégé qui tente d’exploiter une quelconque vulnérabilité du navigateur de la victime, puis l’installation sur son poste d’un malware chargé d’en offrir le contrôle à distance (RAT).

Ce dernier ne semble pas même très sophistiqué : McAfee affirme détecter ses évolutions depuis plusieurs années à l’aide de signatures génériques (Generic Downloader.x et Generic BackDoor.t).

Une fois installé le malware récupérait ses instructions en allant lire des commentaires spécifiques ajoutés au code source de sites web compromis. Les pirates prenaient alors le relai et installaient manuellement de nouveaux malwares de contrôle à travers le réseau, afin de s’assurer une présence à long terme chez leur victime.

Et « long terme », ici, n’a rien d’exagéré : le rapport indique que McAfee est parvenu à observer l’activité des attaquants depuis 2006, mais qu’à cette époque l’opération avait déjà fait huit victimes (essentiellement en Corée du Sud et aux Etats-Unis, parmi des agences gouvernementales ou des centres de recherche). Elles étaient 29 l’année suivante, pour arriver à 38 en 2009. Depuis cette date les attaquants semblent s’être adaptés aux contre-mesures et McAfee reconnaît n’identifier plus que neuf victimes aujourd’hui. Mais cela ne signifie pas pour autant que l’opération est terminée : simplement qu’elle a évoluée.

Parmi les rangs des victimes de cette opération l’on trouve au moins dix sous-traitants du gouvernement américain, une douzaine d’agences locales et fédérales du gouvernement américain, des industriels de tout type (fabrication de satellites, industrie électronique, travaux publics, énergie, télécommunications…) et même une paire de spécialistes de la sécurité informatique. Plus étonnant, les attaquants ont montré un intérêt particulier pour les Jeux Olympiques : parmi les victimes figurent plusieurs comités Olympiques (en Asie notamment) et l’Agence Mondiale contre le dopage…

L’intrusion la plus courte a duré un mois seulement, tandis que la plus longues s’est étalée sur plus de deux ans (28 mois).

Impossible bien entendu de savoir exactement la nature des données dérobées durant toute l’étendue de cette opération. Mais pour McAfee une chose est sûre : il s’agit là d’un pillage en règle. « Ce que nous observons depuis ces six dernières années est un transfert de richesses de proportions historiques. Des secrets d’Etat, des codes sources, des bases de données de vulnérabilités, des archives d’emails, des plans de négociations pour des forages de pétrole et de gaz, des contrats, des configurations SCADA, des plans de construction.. tout a été dérobé à des sociétés occidentales« , explique Dmitri Alperovitch, VP Threat Research chez McAfee dans le rapport.

Toutes ces données ne seront probablement pas exploitées, mais selon McAfee même si une fraction seulement a servi à créer de nouveaux produits, ou à emporter de nouveaux contrats de manière déloyale, les pertes économiques sont significatives.

Qui peut bien être derrière une telle opération ? Un acteur étatique, probablement. Car ces données sont difficilement vendables rapidement et ne correspondent pas à ce qu’un groupe de cyber-criminels volerait spontanément… sauf à être mandaté par un état.

Quel état, alors ? Si le rapport ne cite jamais nominativement la Chine, c’est bien entendu vers elle que tous les regards se tournent. Non parce qu’elle est devenue un bouc émissaire bien pratique lors de toute nouvelle intrusion, mais bien parce que le profil des informations volées pointe en sa direction. L’intérêt marqué pour les Jeux Olympiques, par exemple : les attaques ont commencées à l’été 2007, soit un an avant les Jeux Olympiques d’été de 2008 organisés par la Chine.

La position géographique des victimes, aussi : la Corée du Sud est ainsi particulièrement visée, ainsi que d’autres voisins chinois (Vietnam, Taiwan, Inde, Indonésie…). Et Hong-Kong (une province chinoise relativement autonome de fraîche date) ou Taiwan figurent également parmi les victimes. Les Etats-Unis, cependant, conservent la part du lion en matière d’intrusions dans cette opération, ce qui ne surprendra guère.

Il n’est évidemment pas impossible qu’il s’agisse là d’une mystification : quiconque dispose des moyens de mener une telle opération est probablement en mesure de l’attribuer sans difficulté à la Chine pour couvrir ses traces.

Mais au delà de l’origine, ce que nous enseigne cette étude c’est surtout qu’une quantité astronomique d’informations confidentielles, commerciales ou politiques, fuitent quotidiennement dans la nature sans qu’il ne soit possible d’en déterminer la destination. Selon McAfee de telles attaques sont au moins hebdomadaires, et elles frappent les entreprises de toutes tailles, y compris les PME (qui peuvent, par exemple, être des sous-traitantes pour de plus grands groupes d’intérêt).


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.