Les éditeurs de solutions de sécurité Kaspersky et Symantec ont chacun de leur côté rapporté cette semaine leur analyse d'une plateforme de cyber-espionnage désignée sous le nom de Sauron ou ProjectSauron, qui s’en prend depuis plusieurs années à des cibles gouvernementales en y traquant les communications chiffrées. Celle-ci opère avec des outils personnalisés pour chacune de ses cibles, ce qui lui a permis de déjouer les solutions de protection informatique habituelles. Une trentaine de victimes ont été identifiées dans des organisations liées à la fourniture de services publics. Kaspersky en a repéré en Russie, en Iran, au Rwanda et, peut-être, dans des pays italophones. Symantec cite également la Russie, ainsi qu'une compagnie aérienne en Chine, une ambassade en Belgique et une organisation en Suède.

Actif depuis octobre 2011, le groupe qui conduit ces opérations de cyber-espionnage sous le nom de Strider a fait profil bas jusque-là, explique Symantec. Il utilise une composante du malware Remsec dont le code contient une référence à Sauron, le personnage maléfique créé par Tolkien. A ce jour, l'éditeur a trouvé des preuves d’infection dans 36 ordinateurs au sein de sept organisations différentes. Le malware Remsec utilisé par Strider est conçu de façon modulaire, indique-t-il. « Ses modules fonctionnent ensemble comme un framework qui fournit aux attaquants un contrôle complet sur l’ordinateur infecté, leur permettant d’évoluer dans le réseau, d’exfiltrer des données et de déployer les modules personnalisés dont ils ont besoin ». Symantec a identifié plusieurs modules énumérés dans un billet.

Sauron multiplie les voies d'exfiltration des données

Kaspersky a de son côté détecté Sauron en septembre 2015, à la suite d’une anomalie repérée sur le réseau d’un client. Il confirme que le programme utilise des techniques uniques. En particulier, Sauron ne reproduit pas ses modèles et « ses implants et infrastructures s’adaptent spécifiquement à chaque cible sans jamais être réutilisés », détaille-t-il dans un communiqué. Par ailleurs, ProjectSauron multiplie les voies d’exfiltration des données qu’il dérobe en utilisant des canaux légitimes, ce qui lui évite d’être repéré et lui permet d’opérer sur de longues durées. Pour Kaspersky, tout cela relève d’intervenants expérimentés qui ont étudié et réutilisé, en les améliorant, des méthodes mises en œuvre par de précédentes offensives telles que Duqu, FlameEquation et Regin.

En résumé, Kaspersky décrit Sauron en six caractéristiques principales. Premièrement, le malware présente une empreinte différente pour chaque cible, ce qui ne facilite pas sa détection puisqu’il n’est dès lors pas possible de se référer à des indicateurs de compromission communs. Deuxièmement, les logiciels implantés utilisent des scripts de mise à jour de logiciels légitimes et fonctionnent comme des backdoors, en téléchargeant des modules ou en exécutant des commandes en mémoire. Troisièmement, ProjectSauron recherche en priorité un certain logiciel de chiffrement client-serveur assez rare, utilisé par certaines des organisations qu’il cible pour sécuriser leurs échanges. Quatrièmement, les outils de bas niveau implantés sont orchestrés par des scripts Lua de haut niveau, comme on l’a vu avec Flame et Animal Farm. Cinquièmement, les réseaux physiquement isolés ne sont pas à l’abri puisque ProjectSauron passe par des clés USB préparées à cet effet, comportant des « compartiments » où cacher les données volées. Enfin, sixième caractéristique, Sauron met en œuvre différentes voies d’exfiltration des données en utilisant des canaux légitimes (tels que les e-mails ou le DNS) qui dissimulent les données volées aux victimes dans le flot du trafic quotidien.