Kaspersky et Symantec ont mis la main sur ProjectSauron, une menace persistante en activité depuis au moins cinq ans. Le fait que cette APT ait pu rester si longtemps invisible fait dire aux éditeurs qu'un État a participé à sa création.
Flame, Duqu, Stuxnet ou encore Equation : des noms de malwares très particuliers qui ont émaillé l’actualité de la sécurité informatique ces dernières années. Deux caractéristiques étaient retrouvées à chaque fois : une sophistication technique très élevée, et des cibles bien particulières. Il ne s’agissait ainsi pas de malwares que l’on trouve tous les quatre matins dans ses emails personnels, mais d’APT, c’est-à-dire des campagnes au long cours pour obtenir des informations et/ou accès précis.
L'art de la discrétion
Un nouveau venu fait son entrée dans cette famille comptant pour l’instant assez peu de membres : ProjectSauron, nom donné par Kaspersky. Sauron étant le (demi-)dieu du mal dans l’univers de Tolkien, l’objectif malfaisant de la menace est perceptible. De son côté, Symantec donne les noms de Remsec au malware et Strider au groupe qui l'a conçu, alors que Kaspersky ne nomme pas ce dernier. C'est pourtant le nom de ProjectSauron (bien plus vendeur) qui retient l'attention, à cause d'une référence nette dans le code (voir capture plus bas).
Dans un (long) rapport, l'éditeur russe indique avoir détecté en septembre 2015 une anomalie dans le trafic réseau d’un organisme gouvernemental (on ne sait pas lequel). Après analyse, une bibliothèque assez curieuse a été trouvée, résidant dans la mémoire d’un serveur. Elle se présentait comme un filtre à mots de passe (Windows Local Security Authority), capable de récolter et de mettre de côté des données en clair.
Pour Kaspersky, ProjectSauron représente ce qui se fait de mieux d’un point de vue technique. Un degré de sophistication comparable à Flame, que l’éditeur avait placé à l’époque au sommet de son propre classement. Il est décrit comme une plateforme modulaire de cyberespionnage, conçue pour mettre en place des campagnes à très long terme et pour passer inaperçu. Ce qui est effectivement le cas.
Depuis au moins cinq ans
Les traces trouvées par l’éditeur font remonter ProjectSauron à juin 2011 au minimum. Cette trousse à outils est donc en service depuis au moins cinq ans, mais Kaspersky indique que l’APT pourrait avoir débuté sa carrière avant. Ce « kit » est constitué d’un ensemble de modules et de protocoles communiquant pour former des assemblages que l’on peut adapter en fonction des situations. Ces communications utilisent des algorithmes de chiffrement tels que RC5, RC6, AES ou encore Salsa20.
ProjectSauron, une fois « configuré », cherche à implanter dans la machine une partie centrale accompagnée d’un ou plusieurs plugins, selon les besoins. Kaspersky précise qu’il existe plus d’une cinquantaine de types de plugins, participant au caractère sophistiqué de la menace. Une fois en place, le malware s’intéresse tout particulièrement aux communications chiffrées de la structure, et tâche de récupérer les clés, adresses et autres fichiers de configuration.
Exfiltration : des ressources pour toutes les situations
Lorsque les données ont été rassemblées, l’APT dispose de plusieurs mécanismes pour l’exfiltration, selon la configuration de la structure attaquée. Dans le cas d’un réseau classique, il s’appuie lourdement sur le protocole DNS pour les faire sortir, ou simplement pour envoyer un statut. Pour éviter de se faire détecter, ce transfert s’effectue à très faible bande passante. Une opération réservée aux métadonnées, légères.
Par contre, si les serveurs sont entourés par un air gap – coupés physiquement du reste du réseau et d’Internet, ou si des données plus lourdes ont été trouvées, ProjectSauron les met de côté, dans un coin caché du système d’exploitation. Ces données seront dormantes et attendront qu’une clé USB spécialement conçue soit branchée pour être déplacées. Une caractéristique qui le rapproche de Stuxnet.
Aucune faille 0-day trouvée, mais...
Si Kaspersky a mis presque un an pour commencer à parler de ProjectSauron, c’est évidemment que les informations ont été partagées avec un certain nombre d’agences. L’éditeur ne sait pas où le malware est apparu la première fois, mais il assure qu’il est toujours actif, même si une grande partie des réseaux compromis ont a priori été découverts. De nombreux aspects sont personnalisés pour répondre aux caractéristiques de la victime, ce qui est un autre signe classique d’une APT.
En tout, Kaspersky indique avoir débusqué 28 domaines C&C (command and control) liés à un total de 11 adresses IP, certaines aux États-Unis, d’autres dans des pays d’Europe. Toutes les équipes de réponse à incident (CERT) des hébergeurs concernés ont été contactées.
Il faut non seulement rebondir au sujet de l’attaque, mais également examiner les mécanismes pour détecter l’utilisation d’éventuelles failles 0-day (non-détectées), particulièrement prisées dans ces scénarios. Dans son rapport, Kaspersky indique n’en avoir trouvé aucune pour l’instant, mais la manière dont le malware s’y prend pour gérer les air gaps suggère qu’il y en a au moins une.
Des cibles spécifiques et de haute volée
Quant aux victimes elles-mêmes, Kaspersky ne donne évidemment aucun nom. On sait cependant qu’il s’agit d'une trentaine de structures liées d’une manière ou d’une autre au fonctionnement des États, dont des gouvernements eux-mêmes, des centres de recherche, des installations militaires, des fournisseurs de solutions télécoms ainsi que des organismes de finance. Les pays les plus touchés semblent être la Russie, l’Iran, le Rwanda, la Chine, la Suède et la Belgique.
Tous les signes d’une attaque orchestrée par un État, ou soutenue par un État, sont bien là. La question de savoir si une preuve tangible sera trouvée est toujours sur la table. Il est rare en effet que des signes clairs soient retrouvés, mais quelques exceptions très notables sont à rappeler. Le plus connu est certainement Stuxnet, créé par les États-Unis et Israël pour perturber le programme iranien d’enrichissement de l’uranium. Il existait également un faisceau de preuves pointant vers les deux mêmes pays pour Flame, qui visait également l’Iran.
