Les équipes de Kaspersky Lab ont découvert une campagne de cyberespionnage de grande envergure au point qu'ils soupçonneraient un Etat d'en être à l'origine. Les chercheurs ont baptisé cette opération « The Mask », traduction anglaise du mot espagnol Careto, nom choisi par les attaquants pour leurs principaux backdoors. Ils ont trouvé plusieurs autres noms en espagnol laissant à penser que les pirates ont une accointance avec cette langue peu utilisée dans des campagnes d'APT (Advanced Persistent Threat). « Quand il est activé dans un système de la victime, The Mask peut intercepter le trafic réseau, les frappes au clavier, les conversations Skype, les clés PGP, analyser le trafic WiFi, faire des captures d'écran et surveiller les modifications de fichiers », constatent les chercheurs. Ils ajoutent qu' « il existe plusieurs extensions qui n'ont pas pu être identifiées et qui pourraient être associées à des outils gouvernementaux ou militaires de chiffrement ».

Dans leurs analyses des liens vers les serveurs de commande et contrôle (C&C), les spécialistes ont recensé plus de 380 victimes dans 31 pays. Les cibles sont principalement des gouvernements, des ambassades et missions diplomatiques, des industries dans le domaine de l'énergie, des laboratoires de recherche, des fonds d'investissements et des militants. Elles ont toutes été piégées par du phishing par mail avec des liens sur des sites compromis et permettant d'installer des vulnérabilités pour Java et Flash Player d'Adobe, ainsi que dans les plug-in pour Firefox, IE et Chrome. Les liens redirigeaient vers des sites de journaux dont beaucoup en espagnol, mais aussi The Guardian, le Washington Post et The Independent.

Au classement des pays les plus touchés, on trouve le Maroc, le Brésil, le Royaume-Uni, l'Espagne et la France avec 53 victimes. Kaspersky Lab a mené une opération de sinkholing, c'est à dire de redirection de certains noms de domaine de serveurs C&C pour les contrôler et les analyser. Les spécialistes ont pu constater que les assaillants ont commencé à arrêter leurs serveurs C&C en janvier dernier. Mais ils n'excluent pas une possible reprise des activités pour une autre campagne.

Un malware très sophistiqué et fait pour durer

En termes de sophistication, Kaspersky place l'opération The Mask au-dessus d'autres campagnes de cyberespionnage comme Duqu, Gauss, Red October et Icefog. « Pour Careto, nous avons observé un très haut degré de professionnalisation dans les procédures opérationnelles, y compris sur la surveillance de leurs infrastructures, l'arrêt des opérations et le nettoyage des traces notamment par la suppression des historiques », remarquent l'équipe de Kaspersky. Ils complètent en disant que « ce n'est pas très commun dans le cadre d'évènements mêlant des APT, The Mask est à ranger dans le groupe d'élite des APT ».

La boîte à outils du malware contient trois backdoors différents, dont un avait une version pour Mac OS X et Linux en plus de Windows. L'enquête a montré que le plus ancien a été compilé en 2007. Certains éléments montrent potentiellement des infections sur les terminaux iOS et Android, mais aucun échantillon du malware n'a pu être récupéré pour le confirmer. Careto a souvent été utilisé pour installer un autre programme de backdoor plus complexe appelé SHG qui a une architecture modulaire et peut être facilement étendu. Cette seconde menace contient un rootkit et des modules pour intercepter les évènements systèmes et les opérations sur fichiers, ainsi qu'un grand nombre de fonctions de surveillance. Ce backdoor exploite une vulnérabilité présente dans d'anciennes versions d'anitivirus de Kaspersky afin d'échapper à la détection. Cela a attiré l'attention des chercheurs de la firme russe et ils ont poursuivi leur enquête. Néanmoins, cette faille a été corrigée en 2008  et ne concerne que les solutions Wokstation antérieures à la version 6.0.4, ainsi que l'antivirus et Internet Security 8.0.

Un Etat en soutien

Le troisième backdoor repose sur un projet Open Source nommé SDB pour la contraction de Shadowinteger's Backdoor. Ce dernier s'appuie sur l'utilitaire réseau Netcat. Les chercheurs ont trouvé des variantes de SBD pour Windows, Mac OS X et Linux associées à l'opération The Mask. Cependant, la variante Linux a été endommagée et ne peut pas être exploitée. La plupart des échantillons retrouvés porte une signature d'un certificat numérique valide délivré par la société Tecsystem localisée en Bulgarie. Aucune preuve de l'existence physique de cette société n'a été trouvée. Le certificat est valable entre le 28 juin 2011 et le 28 juin 2013. Un autre était censé être valide du 18 avril 2013 jusqu'au 18 juillet 2016, mais il a été annulé par Verisign.

« les opérations de cyber-offensive des Etats nations peuvent rester dans l'ombre pendant des années avant d'être découvertes et entièrement analysées » a indiqué Igor Soumenkov, chercheur principal, dans un mail à nos confrères d'IDG NS. Il ajoute « parfois les échantillons sont détectés, mais nous n'avons pas toutes les informations pour déterminer le grand dessein. Avec Careto, nous essayons seulement d'analyser l'attaque contre les produits Kaspersky, mais pas de comprendre quel est le grand dessein ». Il conclut en estimant que l'usage de la langue espagnole et la date de compilation de l'échantillon le plus ancien suggèrent que les attaquants ont été soutenus par un ou des états hors Chine, Russie ou Etats-Unis.