Celle qui avait découvert un malware fascinant
A partir de 2014, une drôle de ménagerie de logiciels malveillants va être mise à jour.
Bonjour,
Bienvenue dans ce nouvel épisode de votre newsletter sur le cybercrime Pwned. Au passage, je vous souhaite une très bonne année 2025. N’oubliez pas, pour partir d’un bon pied dans l’année, de recommander à vos proches de vous abonner à la newsletter.
Si vous avez bien suivi, le dernier épisode de Pwned était consacré à WikiLeaks et évoquait notamment la fuite d’une partie du cyber-arsenal de la CIA, Vault 7. Aucun service de renseignement au monde n’aime voir ses petits secrets dévoilés au grand jour. Y compris évidemment notre très franchouillarde direction générale de la sécurité extérieure, la DGSE, parfois surnommée “Mortier” en référence au boulevard du même nom qui abrite ses locaux à Paris.
Tout commence avec l’un des nombreux documents accumulés par Edward Snowden. En juin 2013, pour dénoncer l’ampleur des moyens de surveillance, ce lanceur d’alerte américain dévoile au monde entier les petits bijoux techniques des agences occidentales, Etats-Unis en tête bien sûr.
Mais les services américains ne sont pas les seuls affectés par ces révélations. Quelques mois plus tard, le journal “Le Monde” publie le récit d’une longue et très intéressante traque menée par les services secrets techniques canadiens. Cet article est basé sur une présentation de 25 pages issue des documents Snowden et qu’on peut retrouver aujourd’hui en ligne. Son titre? “Snowglobe, from discovery to attribution”.
Comme l’explique le quotidien du soir, cette présentation est centrée sur un programme malveillant découvert en 2009 par le renseignement canadien. Celui-ci a été identifié grâce à une sonde, un outil qui laisse traîner ses gigantesques chaluts sur l’internet. Et cette fois-ci, elle a remonté dans ses filets un programme intriguant qui a tout l’air d’être un logiciel espion, dédié notamment à l’espionnage de messageries.
On voit immédiatement que le document est destiné à des spécialistes: il est particulièrement avare en mots, mais pas en jargon technique. Il décrit notamment des “implants”, les programmes destinés à lancer l’infection. Ils ont été baptisés “Snowball” et “Snowball 2” par les auteurs de la présentation. Ainsi qu'un logiciel plus perfectionné, appelé, c’est original, “Snowman” - je vous épargne la traduction.
L’infrastructure générale est dispersée entre les Etats-Unis, le Canada, le Royaume-Uni, la République Tchèque, la Pologne et la Norvège. Certains de ces serveurs ne sont visiblement pas utilisés à l’insu de leurs propriétaires, mais grâce à un accès spécial, relèvent les analystes canadiens. Comme si une organisation avait bénéficié d’un passe-droit.
Les victimes sont d’abord situées en Iran. Ce sont des organisations liées à la recherche, au nucléaire ou au secteur des télécoms. Mais il y aussi des cibles en Grèce, en France, en Norvège, en Espagne, en Côte d’Ivoire et en Algérie.
Les Canadiens ne sont pas les seuls à s’intéresser à ce programme malveillant. Près d'un an après l'article du Monde, la chercheuse Marion Marschalek de la société Cyphort publie une note très intéressante, s'appuyant cette fois sur un échantillon obtenu par l'entreprise privée. Comme elle le remarque, le malware vise à “exfiltrer presque tout ce qui a de la valeur”.
Il peut enregistrer les frappes de clavier, faire des captures d’écran, capter un flux audio, voler le contenu du presse papier Windows (oui, ce document où vous copiez-collez parfois vos mots de passe) ou surveiller les messageries instantanées. Bref, c’est “un outil d'espionnage complet, conçu pour espionner de manière excessive l'activité de l'utilisateur d'une machine infectée”.
Marion Marschalek fait également un rapprochement instructif. Le malware qui avait attiré l'œil des Canadiens a un air de parenté avec “EvilBunny”, un autre logiciel malveillant qu'elle avait analysé quelques mois plus tôt. Elle identifie notamment des erreurs ou des logiques de programmation similaires entre les deux logiciels.
Ce dernier programme, une sorte de cheval de Troie, est lui aussi “techniquement fascinant”, estime-t-elle. Diffusé avec un document PDF piégé, ce lapin maléfique est furtif, son exécution est par exemple interrompue s’il identifie la présence d’une poignée d’antivirus.
A la fin de l’hiver 2015, les experts de l’éditeur russe d’antivirus Kaspersky poursuivent ce travail d’investigation. Ils identifient de nouveaux malwares présentant des caractéristiques similaires aux premiers. Ils sont appelés cette fois-ci Dino, NBot, Tafacalou et Casper. La société explique avoir identifié l'utilisation de deux précieuses failles “zero day” par ces logiciels malveillants, ces vulnérabilités inconnues des éditeurs qui valent de l'or.
Le groupe de programme est même affublé d’un surnom. Ce sera “Animal Farm”, la ferme des animaux, un clin d'œil au livre éponyme de l’écrivain britannique Georges Orwell. Ce groupe est actif “depuis au moins 2009”, précise Kaspersky. Mais “certains signes suggèrent” que des versions antérieures des malwares “ont été développées dès 2007”.
L’un des experts de la firme russe résume au Monde les questions qui agitent à l'époque les analystes. “Des choses aussi complexes ne peuvent pas être réalisées par des cybercriminels, d'autant qu'il n'y a pas de profit financier. De fait, cela ne peut être qu'un État”. Mais lequel?
On en reparle la semaine prochaine,
Bonne journée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Quand les Canadiens partent en chasse de « Babar »
Snowglobe, from discovery to attribution
Catch Me If You Can - A Compilation Of Recent Anti-Analysis In Malware
Babar: Suspected Nation State Spyware In The Spotlight
EvilBunny: Malware Instrumented By Lua
« La Ferme des animaux », concepteur de logiciels espions depuis au moins 2009