¨ Dépannage-Maintenance-Formation-Informatique > Astuce info > , "Red October" vole industriels et gouvernementaux
"Red October" a volé secrets industriels et gouvernementaux pendant 5 ans. La France serait elle aussi touchée….
Date : 15/01/2013
Au total, 69 pays seraient touchés, y compris les Etats-Unis, l'Australie, l'Irlande, la Suisse, le Brésil, le Japon, les Emirats Arabes Unis, mais aussi la France.
Selon l’éditeur d'antivirus Kaspersky « une équipe de cyberespions de haut niveau" a pu subtiliser des informations stratégiques dans le monde entier pendant des années.
Durant les cinq dernières années, une opération de cyberespionnage de haut niveau a pu collecter des données et infiltrer des réseaux d'ordinateurs au sein d'organisations gouvernementales, diplomatiques ou scientifiques." En plus des attaques traditionnelles sur des ordinateurs de bureau, le système est capable de voler des données sur des smartphones.
L’opération baptisée "Red October", ou "RoCra", serait d’ailleurs toujours en cours, avec des données toujours envoyées à plusieurs serveurs via une configuration dont la complexité rivaliserait avec celle de Flame. (1)
Les serveurs intermédiaires de commande et de contrôle seraient hébergés dans plusieurs pays, dont la Russie et l'Allemagne. Cependant le serveur central de commande n'a pas pu être localisé.
Le malware –logiciel malveillant- utilisé exploite des vulnérabilités connues dans Excel ou Word (et plus précisément les CVE-2009-3129, CVE-2010-3333 et CVE-2012-0158). Les attaques ciblant la vulnérabilité de Word ne dateraient que de l'été dernier. Les attaques reposent aussi sur l'ingénierie sociale et le phishing ciblé.
(Rappelons que le phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques)
Il y aurait quelque 300 ordinateurs infectés par ces failles dans le monde.
Kaspersky publie une carte du monde montrant les "victimes de cette opération de cyberespionnage avancée".
La France y figure, comme une bonne partie de l'Europe occidentale, Royaume-Uni excepté. Dans l'Hexagone, les pirates auraient réussi à subtiliser, selon cette carte, des secrets diplomatiques et militaires.
Les codes d'exploitation semblent avoir été créés par des pirates chinois, mais certains modules du malware laissent penser que des russophones ont aussi pu y participer, affirme l"éditeur.
Il n'y a actuellement aucune preuve indiquant l'implication d'un Etat.
(1)Rappelons qu’ au début du mois de mai 2012, l'Union internationale des télécommunications (UIT), agence des Nations unies basée à Genève, avait reçu un appel à l'aide de plusieurs Etats du Moyen-Orient, car diverses installations pétrolières de la région sont victimes d'une attaque dévastatrice : des masses de données stockées sur leurs ordinateurs disparaissent soudainement. Fin avril, pour tenter de réparer les dégâts, l'Iran avait dû couper temporairement les réseaux informatiques de son industrie pétrolière. Le coupable semble être un nouveau virus, opportunément baptisé "Wiper" ("effaceur").