La découverte par Kaspersky et Symantec d’un malware haut de gamme nommé ProjectSauron (ou Strider) vient rappeler que la menace vient aussi de l’intérieur, de très haut et avec une incroyable sophistication !
Tirant son nom d’allusions à l’univers de Tolkien inscrites dans son code, ProjectSauron est un malware particulier, un APT (Advanced Persistent Threat) découvert par Kaspersky chez un de ses clients, et confirmé depuis par Symantec. Il porte également le nom de Strider.
Qu’a-t-il de particulier ? Sa sophistication. En effet, ProjectSauron évolue sous le radar des antivirus et des solutions de sécurité. Et pour cela, il a dû faire l’objet de développements très pointus pour se propager et rester sur les postes qu’il infecte sans se faire détecter. Pire, il semble être capable de se propager jusque sur des machines qui ne sont pas connectées !
La sophistication de ProjectSauron a de quoi faire peur. À ce titre, il montre des capacités de furtivité couplées à de multiples méthodes d’exfiltration.
Il n’avait pas été détecté depuis 2011, sa date de création. 5 années qui viennent un peu plus enfoncer le clou de son développement hors normes…
Que sait-on de ProjectSauron et de sa sophistication ?
Si Strider embarque beaucoup d’inconnues, on sait quand même pas mal de choses qui ne font que renforcer la menace qui plane :
- ProjectSauron s’attaque à tous les OS modernes Windows et Windows Server de Microsoft
- Il utilise des failles zéro day (qui n’ont pas encore été exploitée)
- Ses vecteurs d’infection n’ont jamais été identifiés
- Il a compromis plusieurs organisations gouvernementales dans plusieurs pays
- Il a réussi à voler des informations pendant de nombreuses années avant d’être découvert
- Il a la capacité de voler des informations à partir des réseaux en grappe
- Il supporte de multiples canaux d’exfiltration secrète sur divers protocoles
- Il tire parti des protocoles de communication les plus couramment utilisés: ICMP, UDP, TCP, DNS, SMTP et HTTP
- Il dispose d’un module logiciel malveillant qui peut exister que dans la mémoire sans toucher le disque
- Ses techniques de persistance sont inhabituelles, elles utilisent parfois des fonctionnalités du système d’exploitation non documentées
ProjectSauron est capable d’exfiltrer des données provenant des réseaux en utilisant spécialement des unités de stockage USB où les données sont stockées dans une zone invisible pour le système d’exploitation. La plate-forme fait un usage intensif du protocole DNS pour l’exfiltration de données et pour le reporting en temps réel.
Notons que ProjectSauron n’a pas (encore ?) été détecté à l’intérieur des réseaux et des systèmes SCADA industriels.
Un développement très avancé
ProjectSauron est une plate-forme modulaire conçue pour permettre des campagnes de cyber-espionnage à long terme. Ses auteurs, très avancés dans leurs compétences, ont de toute évidence beaucoup appris de ses prédécesseurs (comm Stuxnet), et ont évité une grande partie de leurs erreurs.
Tous les modules et les protocoles de réseau utilisent des algorithmes de chiffrement forts, tels que RC6, RC5, RC4, AES, Salsa20, etc. ProjectSauron prête un fort intérêt pour ces systèmes de chiffrement utilisés par les organisations gouvernementales. Il utilise un moteur de script Lua (très rare !) modifié pour mettre en œuvre la plate-forme de base et ses plugins, dont il dispose d’une cinquantaine de types différents. Les implants et les infrastructures sont personnalisés pour chaque cible individuelle et jamais réutilisés !
La sophistication de ProjectSauron, ainsi que les données qu’il dérobe, laissent à penser que le malware a nécessité l’intervention de plusieurs équipes de développement très spécialisées, et qu’il a bénéficié d’un budget qui devrait s’exprimer en millions de dollars...
Qui sont ses victimes ?
On sait finalement peu de chose sur l’origine ProjectSauron, en dehors du fait ce n’est pas un virus classique, mais un cyber-espion. Parent peut-être de Stuxnet, ce malware a probablement été développé par ou pour une agence gouvernementale. Laquelle ? Difficile de répondre directement…
Concernant ses victimes, au moins 36 d’entre elles sont connues, qui en disent long sur l’origine probable de l’attaquant : des gouvernements, des personnalités russes, des compagnies aériennes chinoises, des sociétés en Suède, des ambassades en Belgique, des institutions financières, des centres de recherche scientifique, des militaires, des opérateurs télécoms.
Image 94759119 @ iStock IvanNikulin