Des chercheurs en sécurité ont finalement déchiffré un logiciel malveillant baptisé « ProjectSauron » et ont étiqueté le groupe derrière l’attaque « Strider ». Cela a probablement confondu beaucoup d’entre vous, les fans du Seigneur des anneaux, car les deux noms font référence à des personnages opposés. Aragorn, également connu sous le nom de Strider, est l’un des gentils de LoTR, tandis que Sauron est la véritable définition de tous les maux. Pour ajouter au choc, les chercheurs en sécurité ont également été étonnés par la sophistication du logiciel malveillant et sa capacité à passer inaperçus pendant une si longue période.

ProjectSauron a été détecté pour la première fois en 2011, mais n’a annoncé qu’avoir été piraté par les laboratoires Kaspersky dans un rapport la semaine dernière. Et ce qu’ils ont découvert à ce sujet est vraiment alarmant. Cette menace, qui fonctionne sans être détectée depuis environ 5 ans dans au moins 30 réseaux, a amené les experts de Kaspersky à conclure qu’il doit s’agir d’un logiciel malveillant parrainé par l’État.

Selon Kaspersky, « l’auteur de la menace derrière ProjectSauron commande une plateforme de cyberespionnage modulaire de premier plan en termes de sophistication technique, conçue pour permettre des campagnes à long terme grâce à des mécanismes de survie furtifs couplés à de multiples méthodes d’exfiltration ». À ce jour, le groupe a ciblé des agences gouvernementales, des organisations militaires, des entreprises de télécommunications et des institutions financières en Russie, en Iran, en Chine, au Rwanda, en Suède et en Belgique.

Group Strider avait clairement une longueur d’avance, car ils ont fait un travail remarquable en étudiant les activités d’autres groupes de piratage parrainés par l’État pour tenter de suivre leurs avancées et d’éviter de répéter leurs erreurs. « L’acteur derrière ProjectSauron est très avancé, comparable seulement au sommet du haut en termes de sophistication : aux côtés de Duqu, Flame, Equation et Regin. »

La BBC rapporte que le projet Sauron réside uniquement dans la « mémoire informatique et a été écrit sous la forme de grands objets binaires, ce qui le rend difficile à détecter à l’aide d’un antivirus ». Le logiciel malveillant se déguise d’une manière unique et n’utilise jamais la même méthode pour renvoyer des données aux pirates, ce qui le rend spécialement conçu pour éviter d’être détecté. Lorsqu’ils enquêtent sur les logiciels malveillants, les chercheurs recherchent souvent des modèles récurrents, dans ce cas, Group Strider a pu éliminer ces modèles en utilisant divers FAI pendant ses opérations.

Selon les chercheurs en sécurité de Kaspersky, « les implants et l’infrastructure de ProjectSauron sont personnalisés pour chaque cible individuelle et ne sont jamais réutilisés, de sorte que l’approche de sécurité standard consistant à publier et à vérifier les mêmes indicateurs de compromission de base (IOC) est de peu d’utilité ». À ce jour, seulement 30 organisations ont été attaquées, mais les chercheurs ne peuvent pas tirer de conclusions définitives sur l’ampleur des attaques possibles, car le logiciel malveillant est difficile à suivre et il est très imprévisible. Ce qui fascine les chercheurs en sécurité, c’est que ProjectSauron peut infecter des ordinateurs qui ne sont pas et n’ont jamais été connectés à Internet au moyen de clés USB.

« Pour mener une attaque, le logiciel malveillant utilise des clés de stockage USB spécialement préparées qui ont un système de fichiers virtuel qui n’est pas visible par le système d’exploitation Windows. Pour les ordinateurs infectés, les disques amovibles semblent être des appareils approuvés, mais dans les coulisses se trouvent plusieurs centaines de mégaoctets réservés au stockage de données qui sont conservées sur les machines « à espace d’air ».

Les chercheurs en sécurité ont déclaré que ProjectSauron consiste en des modules fonctionnant ensemble comme un cadre qui fournit un contrôle complet sur un ordinateur infecté, permettant à l’attaquant de se déplacer sur un réseau, d’exfiltrer des données et de déployer des modules personnalisés.

Cibles

Jusqu’à présent, les chercheurs ont conclu que les créateurs du logiciel malveillant visaient à recueillir des informations sensibles telles que des adresses IP, des clés de chiffrement, des mots de passe et des détails réseau. La plupart de ces données confidentielles ont été confisquées en surveillant secrètement le trafic Internet, en prenant des captures d’écran, en enregistrant à l’aide de la caméra ou du microphone d’un ordinateur infecté, en enregistrant les coups de clavier et en effectuant d’autres formes de surveillance.

Il y a eu beaucoup de spéculations selon lesquelles ProjectSauron est parrainé par l’État, en raison de ses cibles hautement sélectives et de sa dépendance à des outils faits maison et fiables et à un code scripté personnalisable pour attaquer. Les médias russes ont suggéré que le logiciel malveillant pourrait être conçu par des groupes occidentaux, car ses principales cibles étaient en Iran et en Russie.