Octobre Rouge, le vol de données sensibles à l’échelle mondiale

Les chercheurs de Kaspersky ont mis le doigt sur un gigantesque réseau d’espionnage à l’échelle planétaire. Au sein d’une opération baptisée « Octobre Rouge », les attaquants s’en prennent à des cibles de très haute volée. Une opération d’une grande complexité et dont le degré de technicité rappelle Flame.

Une opération de très grande envergure

La société de sécurité Kaspersky a publié hier un très long billet sur son blog. Elle y détaille une découverte d’importance : une opération à l’échelle de la planète, baptisée Octobre Rouge, visant à récupérer des informations sensibles. Un simple coup d’œil sur la carte ci-dessus permet d’avoir une idée de la situation. Voici les données majeures :

• 39 pays sont touchés à ce jour par les vols d’informations 
• Les informations sont issues de domaines variés mais toujours sensibles : ambassades (et donc diplomatie), nucléaire, militaire, aérospatiale, instituts de recherche ou encore gouvernements
• L’opération a été lancée en 2007

En d’autres termes, depuis plus de cinq ans, des informations stratégiques sont volées un peu partout dans le monde. La France est par exemple concernée par des fuites de renseignements diplomatiques et gouvernementaux. Le détail n’est évidemment pas connu. Kaspersky précise cependant que la Russie, le Kazakhstan, l’Azerbaïdjan, la Belgique, l’Inde, l’Afghanistan, l’Arménie, l’Iran et le Turkménistan sont les plus touchés.

Un haut degré de technicité

L’opération Octobre Rouge est caractérisée par un très haut degré de technicité et de soin porté à chaque attaque. Il ne s’agit en aucun cas d’un « simple » malware généraliste distribué aux quatre vents. Environ 300 ordinateurs et/ou réseaux ont été visés, et chaque attaque a été personnalisée pour mieux remplir sa mission.

Plus d’un millier de modules ont été recensés, chacun possédant ses propres paramètres. Kaspersky sait cependant que l’une des fonctionnalités possibles est de créer une extension pour Adobe Reader ou Word, de la suite Office. Une fois en place, ladite extension permet aux attaquants de garder un moyen de contrôle sur la machine, même si le malware est supprimé. En d’autres termes, une porte dérobée censée être particulièrement résistante. Par ailleurs, les documents spécialement conçus pour tirer parti de ces extensions sont eux aussi personnalisés pour mieux appâter leurs victimes. Ces dernières sont accompagnées d’une séquence d’identification unique permettant de mieux organiser leur contrôle

Et puisque l’on parle de contrôle, l’éditeur a également découvert qu’au moins 60 domaines ont été créées pour constituer l’infrastructure C&C, autrement dit « Command and control ». La plupart des serveurs ont été localisés en Russie ou en Allemagne. Derrière cette première ligne de domaines se trouve un groupe de serveurs proxy, qui sont eux-mêmes liés à une sorte de « vaisseau-mère », tout en masquant son emplacement. Plusieurs domaines C&C sont par ailleurs codés en dur dans le malware :

Un autre trait marquant d’Octobre Rouge est que les seuls PC ne sont pas concernés. En dehors des classiques ordinateurs reliés ou non à des réseaux d’entreprises, plusieurs types de smartphones sont touchés, tels que les iPhone, les Nokia sous Symbian, ou encore les anciens modèles sous Windows Mobile. Certains équipements réseau de Cisco peuvent également être contaminés. La procédure de récupération des donnés inclut même un processus capable de restaurer des données effacées, y compris sur des lecteurs amovibles.

De vastes pans de l’opération restent mystérieux

Kaspersky précise dans son billet que la complexité de l’opération et son efficacité ne sont pas sans rappeler Flame. Mais à la différence de ce dernier, l’éditeur n’est pas persuadé qu’il s’agisse d’un effort alimenté par un ou plusieurs pays. On rappellera en effet que Flame avait reçu, au moins en partie, des apports technologiques cruciaux et de très haut niveau émanant des États-Unis et d’Israël, afin d’espionner l’Iran.

Octobre Rouge continuera à être analysé car très peu d’éléments sont connus sur le ou les responsables impliqués dans cette très grande opération. Le code du malware principal semble avoir été rédigé par des Russes, mais une bonne partie des techniques utilisées ont vraisemblablement été créées par des pirates chinois. Kaspersky précise en outre que le simple fait que les victimes soient aussi réparties sur la surface du globe participe à la dissimulation des auteurs.

Pour la société, un élément est cependant clair : qu’une telle campagne ait pu prendre place pendant plus de cinq ans sans être réellement détectée jusqu’à récemment en dit long sur les capacités des attaquants se trouvant derrière. Les méthodes et techniques sont constamment réajustées. Par exemple, les informations dérobées peuvent être réutilisées immédiatement pour mieux personnaliser une attaque ou pour se servir d’identifiants qui permettront d’aller plus loin.

On notera toutefois qu’en dépit de ce degré de sophistication, les pirates ne sont épargnés par les erreurs. Le chercheur israélien Aviv Raff a ainsi pu découvrir quelques informations en visitant un serveur C&C d’Octobre Rouge. Une erreur a en effet provoqué l’affichage du code PHP d’une page, permettant ainsi de visualiser l’un des rouages de la grande entreprise. Il a pu découvrir que le faux site web sur le serveur utilisait une faille critique Java, pourtant colmatée par Oracle en octobre 2011.

D’autres informations seront nécessairement découvertes dans l’avenir, et nous vous tiendrons évidemment au courant. Nous essayons en outre d'en savoir davantage auprès du CERTA (Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques).