L’éditeur Kaspersky vient de consacrer une publication à ce qu’il décrit comme la campagne de type malware la plus élaborée jamais vue. Nommée « Mask », traduction du mot espagnol « Careto », elle supplanterait par sa complexité d’autres campagnes qui avaient largement fait parler d’elles, telles que Flame et Stuxnet.
Une attaque qui durait depuis plus de cinq ans
Selon l’éditeur russe Kaspersky, Mask marquera les esprits par la grande complexité de sa mise en œuvre et par les nombreux moyens utilisés pour rendre le malware efficace. Le nom vient tout d’abord du mot « Careto » que les analystes ont pu trouver dans le code du malware. Ensuite, le malware est capable d’accomplir un grand nombre de missions, parmi lesquelles l’enregistrement des frappes au clavier, l’aspiration des conversations Skype et des clés de chiffrement et plus globalement le vol de données sensibles.
Son code est conçu pour fonctionner sur les machines Windows, OS X et Linux, ce qui le rend déjà particulier. Bien qu’aucune preuve n’ait été trouvée pour étayer cet aspect, Kaspersky indique cependant que le code suggère une présence sur iOS et Android. Parmi les aspects « troublants » de Mask/Careto, l’éditeur signale que le malware serait en circulation depuis au minimum cinq ans. Il aura fallu la détection de l’exploitation d’une faille dans une ancienne version de son antivirus pour que la société russe découvre la bête.
Mask prend la tête de la sophistication selon Kaspersky
Mais l’analyse du code fournit de nombreuses autres informations. Toujours selon Kaspersky, Mask serait ainsi conçu pour infecter les ambassades, les agences gouvernementales au sens large, les instituts de recherche, les entreprises du secteur énergétique ou encore certaines industries. La complexité du code serait telle qu’elle rappellerait directement les caractéristiques de Stuxnet, Flame, Duqu, Red October, Icefog et Gauss : le signe tangible de l’implication directe d’un État. C’était notamment le cas de Flame, Kaspersky ayant justement souligné la participation des États-Unis et d’Israël pour la création de ce malware dirigé avant tout contre l’Iran.
Pour Kaspersky, Mask est cependant un cran au–dessus de Flame et des autres. Tout commence avec une tentative de phishing visiblement très élaborée pour piéger une personne en particulier. L’objectif est d’emmener cette dernière sur une page web suffisamment bien conçue pour ressembler trait pour trait à un site journalistique connu, tel que le New York Times, le Guardian ou le Washington Post. De là, le faux site va pouvoir détecter la présence éventuelle d’une ou plusieurs failles. C’est le cas notamment d’une brèche dans le lecteur Flash, déjà corrigée, mais qui permet de contourner la sandbox du navigateur.
Un vrai certificat de sécurité fourni par une fausse entreprise
Mask utilise en outre un kit d’outils particulièrement évolué pour répondre à un grand nombre de situations. On trouve ainsi un rootkit et un bootkit, accompagnés de binaires capables de fonctionner individuellement sur les versions 32 et 64 bits de Windows, OS X et Linux, sans oublier les systèmes mobiles déjà cités. Les binaires Windows sont par ailleurs signés d’un certificat authentique fourni par une fausse entreprise. Un degré de sophistication qui permet au malware de ne pas provoquer d’avertissements particuliers sur le système de Microsoft, et qui relance la polémique de la pertinence des certificats de sécurité quand la chaine de confiance est rompue.
Comme de très nombreux autres malwares, Mask/Careto est piloté par des serveurs C&C (Command and Control). Les communications se font de manière chiffrée via un canal HTTPS, mais Kaspersky a pu prendre le contrôle de certaines adresses IP et noms de domaine utilisés par ces serveurs.
Pourtant, d’après les résultats de l'éditeur, même s’ils sont sans doute incomplets, le nombre de machines infectées est très bas : environ 380 postes uniques, répartis dans 31 pays et près d'un millier d'adresses IP différentes. En outre, toute la campagne s’est brutalement arrêtée en fin de semaine dernière, en quelques heures. Ce qui n’empêche pas l’éditeur de souligner le « grand professionnalisme dans les procédures opérationnelles du groupe derrière l’attaque ». Les auteurs de Mask ont ainsi surveillé attentivement le comportement de leur infrastructure, ont clos proprement leur opération et ont efficacement supprimé leurs traces.
Si le nombre de machines infectées peut sembler plus que limité et refléter peut-être l’échec d’une campagne, il n’en est sans doute rien. Le profil très particulier des cibles indique que lesdites machines sont probablement utilisées par des personnes bien placées dans une agence ou une entreprise importante.
Ceux qui souhaitent en savoir davantage sur Mask pourront consulter le très long rapport technique publié par Kaspersky à son sujet.