Le spécialiste en sécurité informatique Kaspersky vient de révéler l’existence d’un groupe de hackers présenté comme l’un des plus redoutables ayant jamais sévi.
Spécialisé dans le cyber-espionnage, il serait en activité depuis plus de 14 ans et utiliserait différents types de malwares à la complexité inédite. Les cibles sont dénombrées dans plus d’une trentaine de pays, dont la France, et dans un grand nombre de secteurs publics et privés jugés sensibles.
« L’Étoile de la Mort de la galaxie du malware » : voici comment l’éditeur de solutions de sécurité Kaspersky décrit le groupe de hackers dont il a dévoilé l’existence à l’occasion d’une conférence à Cancún (Mexique). Baptisé groupe Equation, il serait de « l’un des groupes de cyber-attaque les plus sophistiqués au monde ».
Spécialisée dans le cyber-espionnage, cette entité opère depuis 2001, et peut-être même depuis 1996, à l’aide de malwares dont la complexité et la sophistication seraient supérieures au redoutable cheval de Troie Regin. Ces hackers ont notamment exploité deux vulnérabilités zero-day (c’est-à-dire qui ne sont pas connues de l’éditeur ou pas corrigées) identifiées dans le ver Stuxnet bien avant que ce dernier ne soit déployé. Selon l’éditeur russe, plusieurs dizaines de milliers de victimes ont été la cible d’Equation dans plus de trente pays dont les États-Unis, la Chine, la Russie, l’Inde, le Brésil, de nombreux pays européens dont la France, ainsi que des nations africaines (Somalie, Libye, Yémen, Soudan), du Moyen-Orient (Iran, Irak, Liban, Palestine, Syrie) et d’Asie (Hong-Kong, Singapour, Malaisie).
Au moins sept failles de sécurité exploitées
Les attaques ont visé des entreprises et des entités gouvernementales travaillant dans des secteurs sensibles : télécommunications, nanotechnologies, nucléaire, aéronautique, énergies fossiles, finance, défense, etc. Le groupe a utilisé un arsenal d’outils et de logiciels malveillants, principalement des chevaux de Troie.
Kaspersky en a identifié un certain nombre et leur a donné les noms suivants : EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny et GrayFish. Les hackers exploitent au moins sept failles de sécurité dont quatre sont des vulnérabilités dites zero-day. Parmi ces « outils », celui intitulé Fanny retient l’attention pour sa capacité à s’attaquer aux systèmes informatiques air gap, c’est-à-dire totalement isolés de tout réseau physique ou sans fil. Il se propage via une clé USB infectée dans laquelle le ver crée une partition invisible qui contient les commandes de contrôle ainsi que les données dérobées. Lorsque la clé USB est insérée dans un ordinateur ayant accès à l’Internet, elle transmet ses données et reçoit de nouvelles commandes. Mais ce ver n’est pourtant pas le plus redoutable de la panoplie d’Equation…
Des similitudes avec les méthodes d’Edward Snowden
Les chercheurs sont tombés sur un outil à la fois fascinant par sa complexité et totalement effrayant par sa puissance. Il s’agit d’un module identifié sous le nom de « nls_933w.dll » grâce auquel les assaillants peuvent reprogrammer le microgiciel d’un disque dur ou SSD. Il fonctionne avec plus d’une douzaine de marques de produits dont ceux de Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba et Seagate. D’après Kaspersky, ce module crée un espace invisible sur le système de stockage qui résiste à un formatage de niveau militaire. Les données dissimulées sont toujours disponibles pour l’assaillant, même après le formatage du disque dur et la réinstallation du système d’exploitation. Une fois qu’un disque dur ou SSD a été infecté, il est impossible de détecter ou de supprimer ce module malveillant.
Au vu de ces découvertes, la grande interrogation est de savoir pour qui opère ce groupe. Kaspersky ne donne pas de réponse directe à cette question mais ses précisions techniques livrent des indices. Certaines des méthodes employées par Equation présentent une similitude avec celles décrites par l’ex-analyste Edward Snowden pour dénoncer les agissements de la NSA. Presque tous les serveurs et centres de commande déployés par Equation ont été fermés courant 2013. « La chose la plus effrayante à leur sujet est que nous n’avons aucun échantillon d’activité en 2014, a déclaré Costin Raiu, le directeur du GReAT (Global Research and Analysis Team) chez Kaspersky. Nous ne savons pas ce qu’ils ont fait en 2014, ce qui est très très inquiétant. »
spiralezone 