Octobre Rouge: identification d’une campagne de cyberespionnage à l’échelle mondiale
Le spécialiste sécurité Kaspersky a mis à jour un réseau de cyberespionnage ciblant depuis 2007 de multiples agences diplomatiques et gouvernementales. Les hackers seraient russophones et le code employé d’origine chinoise.
Kaspersky a dévoilé le résultat de ses recherches concernant une vaste campagne internationale de cyberespionnage baptisée Octobre Rouge. Durant ces cinq dernières années, ce réseau toujours actif est parvenu à infiltrer les systèmes et à subtiliser des informations d’organismes diplomatiques, gouvernementaux et scientifiques, notamment en Europe de l’Est et en Asie centrale – cinq infections ont été répertoriées en Suisse. Les informations volées concernent des données sensibles, des codes d’accès et des documents confidentiels, y compris des fichiers élaborés avec le logiciel Acid Cryptofiler, employé par l’Union Européenne et l’OTAN.
Selon l’analyse menée par Kaspersky, le code des attaques a été élaboré par des hackers chinois et avait déjà utilisé lors de cyberattaques contre des activistes tibétains. Les modules malveillants auraient quant à eux été créés par des informaticiens russophones. Rien n’indique qu’Octobre Rouge soit une attaque menée par un Etat et l’objectif est vraisemblablement la revente sur le marché noir d’informations confidentielles.
Un réseau sophistiqué ciblant aussi les mobiles
Selon les experts de Kaspersky, des données continuent d’être envoyées par les terminaux infectés à de multiples serveurs, via une configuration particulièrement complexe. Les hackers ont en effet créé une soixantaine de noms de domaines (principalement en Allemagne et en Russie) qui contrôlent les ordinateurs et derrière lesquels se cache le véritable serveur de commande et contrôle. En surveillant l’activité de six de ces domaines, les analystes ont détecté des dizaines de milliers de connexions provenant de 250 adresses IP, dont 20% de suisses. Le système mis en œuvre combine des tâches persistantes (enregistrement des frappes du clavier, attente de connexion d’un appareil pour l’infecter à son tour, etc.) et des tâches ponctuelles (extraction de mots de passe, exécution de codes, etc.). De plus, il ne cible pas seulement les desktops mais aussi les terminaux mobiles (Windows, iPhone, Nokia).
Kommentare
« Plus