Malware : "Red October" a volé secrets industriels et gouvernementaux pendant 5 ans

Malware : "Red October" a volé secrets industriels et gouvernementaux pendant 5 ans L'éditeur d'antivirus Kaspersky révèle comment une équipe "de cyberespions de haut niveau" a pu subtiliser des informations stratégiques dans le monde entier pendant des années.

La conclusion d'une enquête de plusieurs mois des chercheurs de Kaspersky est formelle : "durant les cinq dernières années, une opération de cyberespionnage de haut niveau a pu collecter des données et infiltrer des réseaux d'ordinateurs au sein d'organisations gouvernementales, diplomatiques ou scientifiques."

Cette opération baptisée "Red October", ou "RoCra", serait même "toujours en cours", avec des données toujours envoyées à plusieurs serveurs via une configuration dont la complexité rivaliserait avec celle de Flame. Les serveurs intermédiaires de commande et de contrôle seraient hébergés dans plusieurs pays, dont la Russie et l'Allemagne, mais le serveur central de commande n'a pas pu être localisé.

Le malware utilisé exploite des vulnérabilités connues dans Excel ou Word (et plus précisément les CVE-2009-3129, CVE-2010-3333 et CVE-2012-0158). Les attaques ciblant la vulnérabilité de Word ne dateraient que de l'été dernier. Les attaques reposent aussi sur l'ingénierie sociale et le phishing ciblé. Vitaly Kamluk, expert travaillant pour Kaspersky, estime qu'il y a quelque 300 ordinateurs infectés par ces failles dans le monde.

Sur son site, Kaspersky publie une carte du monde montrant les "victimes de cette opération de cyberespionnage avancée". La France y figure, comme une bonne partie de l'Europe occidentale, Royaume-Uni excepté. Dans l'Hexagone, les pirates auraient réussi à subtiliser, selon cette carte, des secrets diplomatiques et militaires.

Kaspersky explique avoir découvert l'attaque en 2012, alerté par l'un de ses partenaires (ou clients ?) qui lui a fourni un échantillon du malware. Les codes d'exploitation semblent avoir été créés par des pirates chinois, mais certains modules du malware laissent penser que des russophones ont aussi pu y participer, affirme l"éditeur. Il n'y a actuellement aucune preuve indiquant l'implication d'un Etat.