L’éditeur de sécurité Kaspersky, largement connu pour ses antivirus, a publié hier un rapport présentant deux faits importants : la société a été piratée et le malware utilisé était une version mise à jour de Duqu. Kaspersky fait le point sur les éléments appris durant cette opération, avouant par la même occasion qu’elle ne sait pas quelle quantité de code a pu être volée.
Une activité anormale sur le réseau
En mars, plusieurs employés de Kaspersky ont commencé à se douter qu’il y avait un problème dans le réseau de l’entreprise. Les premiers soupçons sont apparus chez un développeur qui travaillait spécifiquement sur un module expérimental de détection des APT (Advanced Persistent Threats), des menaces extrêmement sophistiquées et basées sur l’action dans le temps, avec de nombreux mécanismes de vol d’information et de camouflage. Un bon exemple d'APT est le cas maintenant très connu du piratage de Sony Pictures. Précisément le genre de menace dont a été victime l’éditeur.
Le développeur a repéré dans un premier temps une activité réseau qu’il a jugée anormale, sa machine contactant les serveurs de l’entreprise de manière trop fréquente. Ne considérant pas dans un premier temps que son PC pouvait être infecté, il a recherché la cause de ce qu’il jugeait comme un dysfonctionnement. Avec l’aide de plusieurs autres employés, un module masqué a fini par être découvert, avec un comportement d’autant plus suspect qu’il déployait clairement des efforts pour se masquer derrière des composants Windows normaux.
Kaspersky a lancé dans la foulée une grande analyse de ses infrastructures, récupérant petit à petit, durant plusieurs semaines, des informations sur un nombre croissant de machines finalement infectées. Et les surprises n’ont pas manqué quand les ingénieurs en sécurité se sont rendu compte que la menace avait un aspect familier : il s’agissait d’une version mise à jour et donc modernisée de Duqu. Ce dernier est pour rappel un malware qui a fait des ravages, mais de manière extrêmement ciblée en 2011, orienté vers des machines particulières pour voler des informations spécifiques.
Le retour du grand méchant Duqu
Duqu fait clairement partie des APT. Découvert initialement par Symantec, son code a été en partie retrouvé dans Stuxnet, un autre malware largement couvert par les médias pour avoir perturbé le programme iranien d’enrichissement de l’uranium. Ces menaces, avec Flame et Gauss plus tard, ont été rangées par Kaspersky ensuite comme des menaces qui ne pouvaient qu’être alimentées par des pays tant le degré de sophistication réclamait des moyens qu’un groupe « classique » de pirates ne pouvait avoir. C’est d’ailleurs Kaspersky qui avait mis en avant la probable parenté de Stuxnet avec les États-Unis et Israël.
Mais dans les recherches menées depuis ce printemps par l’éditeur russe, plus d’une centaine de victimes ont été trouvées ailleurs dans le monde, dans ce qui était bien une nouvelle campagne de vol d’informations, avec des objectifs géopolitiques très variés. Il y a visiblement eu collaboration dans les recherches avec Symantec, qui a publié un rapport de son côté quelques heures à peine après celui de Kaspersky. La société y estime « que Duqu 2.0 est une évolution de la menace originelle, créée par le même groupe de pirates. Duqu 2.0 est un outil complet de vol d’informations conçu pour maintenir sur le long terme une présence masquée sur le réseau de la victime. Ses créateurs l’ont probablement utilisé comme un de leurs outils principaux dans les campagnes de récupération des renseignements ».
Des semaines d'enquête, jusqu'à trouver le point d'entrée du malware
La situation a finalement été frustrante pour Kaspersky. Les ingénieurs ont passé des semaines à simplement observer ce que faisait le malware dans leur réseau et sur les machines. Ils ont repéré au moins une faille 0day que Duqu 2.0 a pu utiliser avec succès, ainsi que deux autres critiques qui pourraient servir dans d’autres réseaux à pirater Windows Server (utilisé chez Kaspersky). Ces deux failles ont été corrigées en décembre dernier, mais la première n’a été colmatée que mardi, à l’occasion du Patch Tuesday.
Durant plusieurs semaines, l’observation a permis de comprendre en partie le fonctionnement du malware et d’en récupérer une partie. Les chercheurs ont fini par trouver également le point d’entrée de Duqu 2.0 dans leur réseau : une machine située dans les bureaux d’une antenne asiatique de l’entreprise. L’employé n’était pas un technicien et il est probable qu’il a été attiré dans une tentative de phishing spécifiquement conçue pour l’appâter et exploiter les trois failles... qui étaient alors toutes de type 0day. Les ingénieurs ont en effet découvert que la contamination initiale remontait à l'automne, et les deux failles critiques n'étaient pas encore corrigées.
Malheureusement, la découverte de cette machine a montré aux pirates que Kaspersky était au fait de la situation et enquêtait. Le malware s’est donc sabordé, supprimant l’historique de navigation et l’ensemble des emails de la machine. La situation pourrait presque faire sourire tant le jeu de dupes était manifeste : des pirates qui espionnaient Kaspersky, des chercheurs qui surveillaient les espions, puis des espions qui s’aperçoivent que la campagne a été découverte. Supprimer les traces du point d’entrée revenait à se débarrasser de l’arme du crime, mais les ingénieurs n’en ont pas moins trouvé de nombreuses informations sur le fonctionnement du nouveau Duqu.
Des caractéristiques uniques
Par exemple, le malware dispose en tout d’une centaine de modules comprenant de nombreuses fausses pistes pour orienter les chercheurs vers l’Europe de l’Est ou la Chine. Mais l’aspect le plus étonnant du malware était qu’il résidait uniquement en mémoire vive, sans rien laisser sur le disque dur en dehors de quelques pilotes installés dans les serveurs. S’il était supprimé d’un poste, il pouvait revenir via la contamination d’une autre machine sur le réseau. L’opération se faisait de manière transparente et silencieuse par l’exploitation de la faille corrigée mardi par Microsoft.
Toute la facilité avec laquelle le malware se chargeait venait là encore de cette faille, qui lui ouvrait l’espace Kernel de Windows, lui permettant alors de court-circuiter complètement les mécanismes qui devaient bloquer tout chargement de code malveillant. Ses communications se faisaient par ailleurs sous forme chiffrée, les données étant alors cachées dans des images au format JPEG et GIF. Duqu arrivait même à faire passer les données collectées pour du trafic Windows habituel, jusqu’à remonter aux serveurs contaminés. Là, les pilotes installés récupéraient les informations et les transmettaient aux serveurs pirates de contrôle sous forme de flux chiffré.
Une version 2.0 qui n'a pu, elle aussi, qu'être soutenue par un État
Mais l’intégralité du fonctionnement du nouveau Duqu repose bien sur une unique faille. Pour Kaspersky, la finesse des techniques mises en place et l’exploitation très inhabituelle de la faille montrent que les pirates qui ont conçu cette menace sont particulièrement doués. Le corolaire pour l’éditeur n’est pas de bon augure : si les concepteurs sont capables de baser l’intégralité d’une campagne de vol d’informations sur une seule faille, c’est sans doute parce que d’autres armes sont prêtes à prendre le relai. Et pour cause, toute la mécanique savamment huilée ne peut que rapidement s’effondrer maintenant que la faille a été corrigée. Mais combien d’autres existent encore pour constituer une réserve dans laquelle les pirates n’ont qu’à piocher ? On se retrouve précisément dans ce qui est tant reproché à la NSA : la connaissance de brèches dont les détails ne sont pas transmis aux éditeurs.
En outre - et c'est clairement le point crucial de l’affaire - les concepteurs de Duqu 2.0 ont nécessairement le soutien d'un État. C’était le cas de Duqu, puis celui de Stuxnet, sans parler de Flame et Gauss, tous possédant des caractéristiques très particulières. Aucun nom n’est évidemment donné, mais on se rappelle qu’en février, Kaspersky avait présenté des résultats de recherche sur un groupe nommé Equation, que l’éditeur considérait comme le plus avancé au monde dans la fabrication des cybermenaces. Et si Kaspersky n’en possédait pas la preuve, il n’en soulignait pas moins les nombreuses similitudes entre les méthodes utilisées par le groupe Equation et celles de la NSA.
Kaspersky s'inquiète d'une attaque aussi frontale
L’éditeur est inquiet en fait pour plusieurs raisons. D’abord parce que les pirates ne s’en sont jamais pris à un éditeur de sécurité aussi frontalement. Un signe qu’ils sont probablement prêts à aller plus loin car ce type d’action ne peut mener qu’à l’escalade des moyens mis en œuvre. Ensuite parce qu’ils ont pris le risque de littéralement « brûler une cartouche » dans une attaque dont ils n’étaient pas certains d’en retirer des bénéfices. Mais est-ce finalement le cas ? Kaspersky pense que oui : des données ont été emportées et la société estime que les pirates se focalisaient en priorité sur la propriété industrielle, notamment les recherches menées sur les nouveaux modules de détection. Pour autant, les utilisateurs eux-mêmes ne seraient pas en danger.
D’un autre côté, Kaspersky estime que les concepteurs de Duqu ont potentiellement commis une erreur. Les enquêteurs ont actuellement du mal à comprendre pourquoi les pirates ont pris la peine de déclencher de telles hostilités pour voler des informations dont ils peuvent, dans l’absolu, se passer. En effet, les campagnes Duqu ou Stuxnet ne visaient clairement pas des machines grand public et il est trop commun de trouver des PC dans les entreprises ou des structures critiques sans aucun logiciel de protection. En attaquant et en ne se rendant pas compte de la surveillance des ingénieurs de Kaspersky, les pirates ont donné un aperçu clair des progrès réalisés de leur côté sur ces technologies. Reste à savoir si le prix à payer pour acquérir cette connaissance ne sera finalement pas trop élevé.
De la transparence et un optimisme de circonstance
Pour Kaspersky, il s’agit d’un « pari », ce qui a d’ailleurs donné le titre au rapport de presque 50 pages paru hier. Un risque calculé qui s’est presque terminé par un match nul, chaque camp ayant glané des informations sur l’autre. L’éditeur indique cependant qu’il a tenu à être transparent : « Pour une entreprise de sécurité, l’une des choses les plus difficiles est de reconnaître qu’elle a été victime d’une attaque de malware. […] nous croyons vraiment à la transparence, et c’est pourquoi nous publions les informations ci-incluses. La sécurité de nos utilisateurs reste pour nous le plus important et nous allons continuer à travailler dur pour regagner votre confiance ».
Mais en dépit de tout ce que peut annoncer Kaspersky, on ne sait rien réellement de la quantité exacte de code qui a été volée. L'éditeur se veut rassurant sur ses produits, mais il est délicat de prédire la manière dont les informations dérobées pourraient affecter les technologies actuellement employées, ou même futures. Il est possible que Kaspersky repousse ainsi l'arrivée de certaines nouveautés pour en blinder le fonctionnement. En attendant, la société russe indique que des plaintes ont été déposées, que toutes les autorités compétentes ont été contactées pour débuter les enquêtes et que les antivirus ont été mis à jour avec ce qui est désormais connu comme « HEUR:Trojan.Win32.Duqu2.gen ».
L'audit de sécurité, quant à lui, n'est pas encore terminé et il est probable qu'un nouveau rapport soit publié dans quelques semaines ou mois.
