Les centaines d'organismes gouvernementaux, militaires et de recherche ciblés lors d'une opération de cyberespionnage de grande envergure surnommée Octobre Rouge ont non seulement été attaqués en utilisant des documents Excel et Word malveillants, comme on le croyait auparavant, mais aussi en exploitant une faille Java via le web, selon des chercheurs de la firme de sécurité israélienne Seculert.

Les chercheurs de l'éditeur d'antivirus Kaspersky Lab ont publié les résultats de leur enquête sur Octobre Rouge hier. Selon leur rapport, les victimes ont été ciblées par le biais d'emails malveillants qui contenaient des documents corrompus conçus pour exploiter des vulnérabilités connues dans Microsoft Excel et Word.

Costin Raiu, directeur mondial de la recherche chez Kaspersky, et son équipe d'analystes avaient indiqué hier que d'autres méthodes de distribution du malware avaient pu être utilisées, mais qu'elles n'avaient pas encore été identifiées. Cependant, en analysant les serveurs de commande et de contrôle utilisés dans le cadre de cette opération, les chercheurs en sécurité de Seculert ont découvert un dossier spécial contenant une applet Java malicieuse - application Java via le web - conçue pour exploiter une vulnérabilité Java patchée en octobre 2011.

Cibler d'anciennes vulnérabilités

La faille trouvée sur le serveur a été compilée en février 2012, ce qui renforce l'idée que ces attaquants ont préféré cibler les plus anciennes des vulnérabilités connues, et non des failles zero-day - jusque-là inconnues - ont indiqué les chercheurs de Seculert mardi,  dans un billet de blog. Cette découverte a été rendue possible car, à un certain moment, les cybercriminels sont passés de l'utilisation de PHP comme langage de script sur leurs serveurs de commandes et  de contrôle, à CGI. Certaines pages plus anciennes d'attaque basées sur PHP figuraient encore sur les serveurs et l'accès à ces dernières dans  un navigateur a permis de révéler leur code source, d'après les chercheurs de Seculert.

« Il semble que la méthode d'attaque basée sur le web a continué à être utilisée même après la bascule vers l'infrastructure de CGI », a estimé Aviv Raff, directeur de la technologie chez Seculert. « Cependant, on ne sait pas clairement si des failles pour de nouvelles vulnérabilités dans Java ou d'autre plug-ins dans le navigateur ont été utilisées au cours des derniers mois », a-t-il ajouté.

Une analyse plus poussée est pour le moment impossible car les serveurs de commande et de contrôle ont été fermés, probablement par les assaillants dans une tentative pour brouiller les pistes, a précisé le dirigeant.

Des liens pointant vers les attaquants

Les assaillants ont trompé les individus des organisations ciblées qui ont visité les pages d'attaque en leur envoyant des emails malveillants avec des liens pointant vers eux, ont révélé les chercheurs de Seculert. On ne sait pas ce que ces e-mails contenaient, car aucune copie n'a encore été récupérée, mais, pour Andy Raff,  ils possédaient probablement un thème basé sur des « actualités ».  

« Les pages d'attaque, la faille Java elle-même et même l'URL pour permettre la capacité de charge du malware contenaient des liens faisant référence à des «actualités», a souligné Andy  Raff. « En fait, une fois que la page d'attaque a chargé la faille Java, les navigateurs des victimes ont été redirigés vers ses sites d'actualités légitimes, dont l'un basé en Turquie », a-t-il expliqué.

Chose intéressante, les serveurs de commande et de contrôle utilisés lors de l'opération de cyberespionage sur Flame contenaient également un lien  « NewsForYou », une chaîne de caractères suggérant que le thème news avait été utilisé dans ces attaques. « Actuellement, on ne sait pas exactement si c'est une simple coïncidence ou s'il existe a un lien entre les deux opérations », a également exposé Andy Raft. Ce dernier pense qu'Octobre Rouge résulte du  travail d'un groupe de cyberpirates qui tentent d'obtenir des données de grande valeur qu'ils peuvent ensuite vendre à des organismes intéressés, plutôt que le résultat d'actions de cyberespionage d'un état nation.

Les chercheurs de Kaspersky Lab, qui sont les premiers à avoir découvert cette opération de cyberespionage, penchent pour la même théorie.