S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Le malware Gauss , tout feu tout Flame au Liban

Flame, je vous aime

Nouvel épisode dans le monde bouillonnant de la sécurité informatique. Les équipes de Kaspersky, qui avaient déjà publié de nombreux détails sur le malware Flame, parlent d’un nouveau membre de la même famille baptisé Gauss. Des origines communes, des capacités similaires et toujours un ciblage géopolitique très particulier.

gauss 

Les lumières d’Europe

Gauss est donc le nom d’un malware pris dans les filets des systèmes de détection de Kaspersky. Comme l’indique l’éditeur dans un billet sur son blog de sécurité, Gauss a touché environ 2500 machines connectées à son système de sécurité. La société estime que le nom a été choisi en référence au mathématicien Johann Carl Friedrich Gauss pour son module principal, car des modules annexes portent le nom d’autres personnes célèbres, mathématicien ou philosophie, Kurt Godel et Joseph-Louis Lagrange.

De nombreuses similitudes

Les similitudes sont nombreuses avec Flame, l’énorme trousse à outils de 20 Mo capable de parer différents types d’attaques. Premièrement, son architecture est très modulaire, ce qui était une caractéristique forte de Flame. En fait, toujours selon Kaspersky, une quantité non négligeable de code est identique. Cependant, contrairement à Flame, les informations de débogage n’avaient pas toutes été supprimées. L’une d’entre elles faisait mention du chemin d’accès « settings\flamer\desktop\gauss_white_1 » et on peut voir très clairement la mention à Flamer, l’autre nom de Flame.

 

Deuxièmement, Gauss s’appuie entre autres sur une faille déjà exploitée par Flame. Elle se situe au niveau du branchement d’un périphérique de stockage de masse USB et se base sur les fichiers .LNK. Microsoft a corrigé cette brèche depuis plus de deux ans mais le fait que les auteurs de malwares continuent à s’en servir met en évidence le manque de mises à jour sur les machines.

 

Troisièmement, Gauss a un profil d’attaque très particulier. Kaspersky indique en effet que la grande majorité des attaques s’est située au Liban, avec d’autres cas en Israël et en Palestine. 

 

 gauss

 

Dans le graphique ci-dessus, on peut se rendre compte facilement que dans la plupart des cas, les cibles de Flame et de Gauss correspondent. Pour l’éditeur, Gauss, Flame, Stuxnet et Duqu sont tout simplement tous sortis du même moule : un véritable vivier de projets de malwares où les uns ont servi de prototypes ou de pouponnières aux autres.


gauss

Des aspects singuliers

Gauss possède pourtant des caractéristiques qui lui sont propres. C’est le cas notamment d’un module entièrement chiffré dont les chercheurs ont été incapables jusqu’à présent de percer le secret. Ils savent cependant qu’il est conçu pour être copié vers une clé USB depuis une machine infectée pour ensuite être déchargé sur une machine saine, mais uniquement en fonction de conditions que, là encore, les chercheurs ne connaissent pas. Kaspersky a du coup lancé un appel à des cryptologues pour obtenir de l’aide.

 

Le niveau de chiffrement semble particulièrement élevé, ce qui peut être interprété de différentes manières. D’une part, les auteurs auraient très bien pu vouloir que le fonctionnement spécifique de Gauss ne soit pas découvert trop rapidement par les sociétés de sécurité. D’autre part, Kaspersky émet l’idée que cela bloquerait une absorption trop rapide du code par la « concurrence ». La société estime de fait qu’il y a très peu de chances pour que le code se retrouve en ligne.

 

Les méthodes d’attaque semblent en outre différentes de Flame. Même si on retrouve l’exploitation de la faille LNK, Gauss ne dispose par exemple pas de la capacité de s’insérer entre un client Windows et le service Windows Update. Flame possédait cette capacité et utilisait pour cela un type d’attaque que les experts en sécurité n’avaient jamais vu réellement exploité : la collision, qui repose sur le postulat que deux contenus peuvent aboutir au même hash une fois chiffrés. Un constat qui faisait alors dire à plusieurs éditeurs, dont Kaspersky et Symantec, qu’au moins un gouvernement devait se retrouver derrière Flame. Et donc probablement derrière Gauss également.

 

Ce dernier installe en outre une police spéciale nommée Palida Narrow. Malheureusement, personne ne sait encore à quoi elle sert. En revanche, Kaspersky pense qu’aucune faille zero-day n’est exploitée actuellement.

Le ciblage géopolitique

La plus grande particularité de Gauss est sans doute sa capacité à surveiller et à voler des données en provenance des clients de Paypal et Citibank, ainsi que de plusieurs banques libanaises. Ce qui fait dire à Kaspersky que c’est la première fois que l’on observe un réseau d’espionnage à échelle nationale et disposant d’un composant de type cheval de Troie pour s’attaquer aux données bancaires.

 

Pour l’instant en revanche, impossible de savoir si des données ont été réellement transférées, ou si Gauss s’est contenté surtout de surveiller ce qui transitait. Une attaque trop large en fait pour Kaspersky qui pense que l’objectif n’était pas vraiment le gain financier. En outre, si Gauss est issu de la même fabrique que Flame, alors un gouvernement se tient derrière et le gain financier n’est clairement pas l’objectif.

 

Il n’est pas dit que Kaspersky ou un autre éditeur puisse obtenir davantage d’informations sur Gauss. Les serveurs Command & Control, qui pilotent les parcs de malwares, ont été coupés en juillet, donc avant que Gauss ne soit pris dans des filets. L’éditeur ne connait en outre pas le degré d’infections des machines, mais il estime qu’il ne doit pas dépasser les quelques dizaines de milliers de machines dans le pire des cas. Gauss a potentiellement hérité de Flame la capacité de se « suicider » mais rien ne permet de l'affirmer pour l’instant. Cependant, la copie envoyée sur une clé USB est prévue pour s’exécuter trente fois avant de se supprimer d’elle-même.

Pourquoi ?

Mais la question qui « tarabuste » le plus les chercheurs se concentre sur les informations volées par Gauss : pourquoi ? Ils n’ont pas de réponse précise à apporter alors que le malware manipule de nombreuses informations dont l’historique de navigation, les connexions actives, les processus lancés, la hiérarchie des dossiers, des informations sur le BIOS, la mémoire vive ou encore les disques locaux et distants, sans parler des données bancaires. L’explication la plus plausible est que Gauss avait pour mission de créer le profil des machines qu’il espionnait, ce qui devait nécessairement profiter à une personne ou un groupe.

 

En attendant d’avoir de plus amples informations, la question qui reste pour les utilisateurs est simple : comment faire pour vérifier facilement que l’on n’est pas infesté ? Dans un billet récent, Kaspersky propose deux solutions : télécharger leur outil gratuit, ou s’aider d’une page web spécialement conçue par le laboratoire de recherche hongrois CrySyS.

Source : Kaspersky
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 13/08/2012 à 17:50

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 128 commentaires

Avatar de WereWindle INpactien
WereWindle Le lundi 13 août 2012 à 17:58:55
Inscrit le mercredi 2 avril 08 - 5761 commentaires
En outre, si Gauss est issu de la même fabrique que Flame, alors un gouvernement se tient derrière et le gain financier n’est clairement pas l’objectif.

c'est la crise pour tout le monde mon bon monsieur
Avatar de SrBelial INpactien
SrBelial Le lundi 13 août 2012 à 18:09:54
Inscrit le jeudi 17 février 11 - 841 commentaires
Mais la question qui « tarabuste » le plus les chercheurs se concentre sur les informations volées par Gauss : pourquoi ? Ils n’ont pas de réponse précise à apporter alors que le malware manipule de nombreuses informations dont l’historique de navigation, les connexions actives, les processus lancés, la hiérarchie des dossiers, des informations sur le BIOS, la mémoire vive ou encore les disques locaux et distants, sans parler des données bancaires. L’explication la plus plausible est que Gauss avait pour mission de créer le profil des machines qu’il espionnait, ce qui devait nécessairement profiter à une personne ou un groupe.


pour détecter d'éventuelles autres failles exploitables dans la V2 ?
pour profiler et mieux cibler les attaques ?
pour brouiller les pistes ?

plutôt que se demander "pourquoi ?", qui n'a pas forcément de réponse, il vaudrait mieux chercher "qui ?", qui en a forcément une.

Edité par srbelial le lundi 13 août 2012 à 18:10
Avatar de Chrisrc01 INpactien
Chrisrc01 Le lundi 13 août 2012 à 18:12:15
Inscrit le samedi 4 octobre 08 - 1435 commentaires
C'est toujours le problème de savoir qui sont les commanditaires de ce genre d'actions illégales il ne faut pas s'étonner si cela dégénère à plus ou moins long terme
Avatar de TopQuiSuisJe INpactien
TopQuiSuisJe Le lundi 13 août 2012 à 18:30:20
Inscrit le mardi 3 janvier 06 - 582 commentaires


pour détecter d'éventuelles autres failles exploitables dans la V2 ?
pour profiler et mieux cibler les attaques ?
pour brouiller les pistes ?

plutôt que se demander "pourquoi ?", qui n'a pas forcément de réponse, il vaudrait mieux chercher "qui ?", qui en a forcément une.


Chercher qui sans savoir pourquoi c'est trouver n'importe qui
Avatar de Grawok INpactien
Grawok Le lundi 13 août 2012 à 18:41:12
Inscrit le jeudi 22 septembre 11 - 163 commentaires
Maintenant qu'on sait qui est derrière Flame, le reste coule de source...
Avatar de Goldoark INpactien
Goldoark Le lundi 13 août 2012 à 18:44:10
Inscrit le vendredi 7 novembre 08 - 531 commentaires
A mon avis, les infos bancaires ne sont qu'une façade. Le module crypté cible des données beaucoup plus spécifique.

Moins sûr qu'Obama et le gouv ricains soit derrière comme c'est le cas pour les précédents (aveux implicite de la maison blanche via l'enquête criminelle ouverte sur les fuites dans la presse à propos des guerres secrètes d'Obama), mais ça m'étonnerait pas...
Avatar de Goldoark INpactien
Goldoark Le lundi 13 août 2012 à 18:45:39
Inscrit le vendredi 7 novembre 08 - 531 commentaires
Ca va finir en vraie guerre toute cette merde sica ça continue.

Quand les dirigeants se comportent comme des crétins irresponsables, ça ne présage rien de bon, et on s'en traîne pas mal en ce moment...
Avatar de x689thanatos INpactien
x689thanatos Le lundi 13 août 2012 à 18:48:05
Inscrit le mardi 9 mai 06 - 4373 commentaires
Ca pitaine flam tu n'es pas de no tre galaxie


Edité par x689thanatos le lundi 13 août 2012 à 18:48
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le lundi 13 août 2012 à 18:51:12
Inscrit le mercredi 29 avril 09 - 13213 commentaires
Ca va finir en vraie guerre toute cette merde sica ça continue.


C'est déjà la guerre. C'est juste qu'elle est électronique, pour l'instant.
Avatar de Vellou INpactien
Vellou Le lundi 13 août 2012 à 19:46:53
Inscrit le vendredi 18 mai 07 - 786 commentaires
Ca va finir en vraie guerre toute cette merde sica ça continue.

Quand les dirigeants se comportent comme des crétins irresponsables, ça ne présage rien de bon, et on s'en traîne pas mal en ce moment...


Ha parce que tu crois que la guerre froide est terminée toi ?
;