Ceux qui avaient laissé bien trop de traces

Le travail sur l'attribution de la ferme des Animaux va être assez fructueux, la preuve avec cet épisode.

janv. 19, 2025

Bonjour,

Bienvenue dans la suite de cet épisode de votre newsletter sur le cybercrime Pwned sur “Animal Farm”, ce mystérieux groupe de malwares découvert au milieu des années 2010. Si vous n’êtes pas encore abonné, vous pouvez vous inscrire directement ici.

La semaine dernière, je vous parlais de l’étrange faune découverte par les chercheurs suite aux publications des documents Snowden, des malwares visiblement mis au point par un Etat. Grâce au travail de plusieurs analystes venus du secteur privé, les révélations sur cette famille de malwares se sont en effet enchaînées en quelques mois.

En 2015, Marion Marschalek, dont on a déjà parlé, Joan Calvet et Paul Rascagnères font une conférence pour présenter leurs recherches. Avec une présentation au graphisme super réussi, c’est vraiment bien joué, et la pointe d’humour qu’il faut quand les auteurs soulignent la difficulté de l’attribution. Joan Calvet a été désigné dans la presse comme un analyste québecois tandis que Marion Marschalek devient australienne. Ils sont respectivement d’origine française et autrichienne.

En parallèle, l'éditeur russe Kaspersky publie ses analyses sur la famille et établit une frise chronologique de leur utilisation. Selon l’entreprise, le premier malware de la famille à avoir été actif est Nbot, un malware de type botnet qui peut notamment lancer des attaques en déni de service. Ensuite viennent Bunny (ou Evil Bunny selon les chercheurs), un malware identifié par Marion Marschalek qui présente d'étonnantes similitudes avec les autres du groupe.

Il y aussi Dino, décrit par Kaspersky comme “une plateforme d’espionnage complète” et décortiqué plus en détail par les chercheurs d'Eset. Quant à Tafacalou, c’est un cheval de Troie servant de point d’entrée pour les autres logiciels malveillants d'Animal Farm. Dans la famille, on trouve aussi Casper, un autre logiciel de reconnaissance des cibles, qui emploie une faille zero-day dans Adobe Flash. Il a été utilisé en Syrie dans une attaque par point d’eau - il s’agit ici de piéger un site afin d’infecter ses visiteurs, la vraie cible des attaquants.

Pour garder un peu de suspense, j’avais oublié de vous préciser le nom que l’on a donné au premier programme malveillant, celui découvert par les Canadiens. C’est Babar. Un nom qui fait référence à l’exécutable du programme espion initialement découvert par les services secrets canadiens. Mais Babar, c’est surtout le nom d'un héros de livres pour enfants et d'un dessin animé bien connu en France. Les premiers traits de crayon datant de 1931, il est désormais un peu old school. Personnellement, mes enfants ont une passion (assez malsaine je trouve) pour la Paw’ Patrol.

Il y a d’autres traces qui semblent trahir une origine hexagonale. On parle par exemple parfois de ko (pour kilo-octets) et non de kb (pour kilobytes). Outre cette mention, on retrouve au sein du code des traces laissées par l’un des développeurs du malware, un certain “titi”. Tout cela semble très, presque trop, explicite. “Titi” est l’un des diminutifs pour “Thierry” (si je dois subir, désormais avec flegme, l’inversion fréquente de mon prénom et de mon nom - tout comme l'infatigable relecteur de cette newsletter -, on ne m’a jamais appelé comme cela).

L’anglais est parfois utilisé, mais pas dans la manière que le ferait un locuteur natif. Comme si le développeur était mauvais en anglais, encore un indice qui pousse les regards vers la France. La faute à notre enseignement médiocre de la langue de Shakespeare - la preuve, il y a vingt ans, quand je vivais à Londres, je réussissais à me faire passer pour un natif aux yeux des français en vadrouille malgré mon terrible accent franchouillard.

Et il n’y a pas que Babar qui transpire le camembert. Le nom d'un autre malware de la famille, Tafacalou, semble faire référence à l’occitan “Fa calor”, “il fait chaud”. La piste d’une origine française est d’autant plus vraisemblable qu’elle colle tout à fait avec les cibles. Les logiciels malveillants Casper et Tafacalou ont ainsi été identifiés sur des cibles basées en Syrie, une piste prioritaire pour le renseignement français.

Il y a aussi l’Iran, un État qui inquiète les démocraties occidentales. Et des pays d’Afrique qui étaient autrefois des anciennes colonies, une institution européenne et enfin un média du futur 51e Etat américain (amis d’Ottawa, pardonnez-moi cette vanne alors que quatre années difficiles s’annoncent avec votre encombrant voisin). “Cela ne ressemble pas à du cybercrime”, mais correspond plutôt à un programme d’une agence de renseignement française, concluaient à l’époque logiquement les Canadiens.

Les carottes sont cuites. Il s’agit vraisemblablement d’un programme développé en France par la DGSE, notre très franchouillarde direction générale de la sécurité extérieure, parfois surnommée “Mortier”, en référence au boulevard du même nom. “Les pays européens sont tout aussi capables que les États-Unis et la Russie d’étendre leurs efforts d’espionnage au cyberespace”, résume dans Vice Marion Marschalek. “La France est tout aussi active que les autres grands acteurs”, ajoute-t-elle avec évidence.

Bien sûr, ces indices pourraient avoir été laissés pour justement accuser l’Hexagone, une façon de masquer ses traces. Mais cela aurait demandé un énorme effort dans le temps, au vu du nombre de programmes espions identifiés, je ne trouve pas cela très crédible. La piste d’un espionnage informatique d’origine française semble bien plus solide. Et on peut même se demander si toutes ses traces étaient si dérangeantes que cela pour le service français à l’origine du programme. Est-ce qu’il ne s’agissait pas également de faire passer un message? Comme un “prenez nous au sérieux, nous aussi, on sait s’amuser avec des 0 et des 1”?

On en reparle la semaine prochaine,

Bonne journée,

Gabriel

Relecture: Mnyo

PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.

Sources

Totally Spies!

Animals in the APT Farm

Hunting Bunnies

Dino – the latest spying malware from an allegedly French espionage group analyzed

Casper Malware: After Babar and Bunny, Another Espionage Cartoon

New Flash Player 0-day (CVE-2014-0515) Used in Watering-hole Attacks