L’éditeur Kaspersky piraté par une version modernisée de Duqu
Vent mauvais
Le 12 juin 2015 à 08h10
11 min
Logiciel
Logiciel
L’éditeur de sécurité Kaspersky, largement connu pour ses antivirus, a publié hier un rapport présentant deux faits importants : la société a été piratée et le malware utilisé était une version mise à jour de Duqu. Kaspersky fait le point sur les éléments appris durant cette opération, avouant par la même occasion qu’elle ne sait pas quelle quantité de code a pu être volée.
Une activité anormale sur le réseau
En mars, plusieurs employés de Kaspersky ont commencé à se douter qu’il y avait un problème dans le réseau de l’entreprise. Les premiers soupçons sont apparus chez un développeur qui travaillait spécifiquement sur un module expérimental de détection des APT (Advanced Persistent Threats), des menaces extrêmement sophistiquées et basées sur l’action dans le temps, avec de nombreux mécanismes de vol d’information et de camouflage. Un bon exemple d'APT est le cas maintenant très connu du piratage de Sony Pictures. Précisément le genre de menace dont a été victime l’éditeur.
Le développeur a repéré dans un premier temps une activité réseau qu’il a jugée anormale, sa machine contactant les serveurs de l’entreprise de manière trop fréquente. Ne considérant pas dans un premier temps que son PC pouvait être infecté, il a recherché la cause de ce qu’il jugeait comme un dysfonctionnement. Avec l’aide de plusieurs autres employés, un module masqué a fini par être découvert, avec un comportement d’autant plus suspect qu’il déployait clairement des efforts pour se masquer derrière des composants Windows normaux.
Kaspersky a lancé dans la foulée une grande analyse de ses infrastructures, récupérant petit à petit, durant plusieurs semaines, des informations sur un nombre croissant de machines finalement infectées. Et les surprises n’ont pas manqué quand les ingénieurs en sécurité se sont rendu compte que la menace avait un aspect familier : il s’agissait d’une version mise à jour et donc modernisée de Duqu. Ce dernier est pour rappel un malware qui a fait des ravages, mais de manière extrêmement ciblée en 2011, orienté vers des machines particulières pour voler des informations spécifiques.
Le retour du grand méchant Duqu
Duqu fait clairement partie des APT. Découvert initialement par Symantec, son code a été en partie retrouvé dans Stuxnet, un autre malware largement couvert par les médias pour avoir perturbé le programme iranien d’enrichissement de l’uranium. Ces menaces, avec Flame et Gauss plus tard, ont été rangées par Kaspersky ensuite comme des menaces qui ne pouvaient qu’être alimentées par des pays tant le degré de sophistication réclamait des moyens qu’un groupe « classique » de pirates ne pouvait avoir. C’est d’ailleurs Kaspersky qui avait mis en avant la probable parenté de Stuxnet avec les États-Unis et Israël.
Mais dans les recherches menées depuis ce printemps par l’éditeur russe, plus d’une centaine de victimes ont été trouvées ailleurs dans le monde, dans ce qui était bien une nouvelle campagne de vol d’informations, avec des objectifs géopolitiques très variés. Il y a visiblement eu collaboration dans les recherches avec Symantec, qui a publié un rapport de son côté quelques heures à peine après celui de Kaspersky. La société y estime « que Duqu 2.0 est une évolution de la menace originelle, créée par le même groupe de pirates. Duqu 2.0 est un outil complet de vol d’informations conçu pour maintenir sur le long terme une présence masquée sur le réseau de la victime. Ses créateurs l’ont probablement utilisé comme un de leurs outils principaux dans les campagnes de récupération des renseignements ».
Des semaines d'enquête, jusqu'à trouver le point d'entrée du malware
La situation a finalement été frustrante pour Kaspersky. Les ingénieurs ont passé des semaines à simplement observer ce que faisait le malware dans leur réseau et sur les machines. Ils ont repéré au moins une faille 0day que Duqu 2.0 a pu utiliser avec succès, ainsi que deux autres critiques qui pourraient servir dans d’autres réseaux à pirater Windows Server (utilisé chez Kaspersky). Ces deux failles ont été corrigées en décembre dernier, mais la première n’a été colmatée que mardi, à l’occasion du Patch Tuesday.
Durant plusieurs semaines, l’observation a permis de comprendre en partie le fonctionnement du malware et d’en récupérer une partie. Les chercheurs ont fini par trouver également le point d’entrée de Duqu 2.0 dans leur réseau : une machine située dans les bureaux d’une antenne asiatique de l’entreprise. L’employé n’était pas un technicien et il est probable qu’il a été attiré dans une tentative de phishing spécifiquement conçue pour l’appâter et exploiter les trois failles... qui étaient alors toutes de type 0day. Les ingénieurs ont en effet découvert que la contamination initiale remontait à l'automne, et les deux failles critiques n'étaient pas encore corrigées.
Malheureusement, la découverte de cette machine a montré aux pirates que Kaspersky était au fait de la situation et enquêtait. Le malware s’est donc sabordé, supprimant l’historique de navigation et l’ensemble des emails de la machine. La situation pourrait presque faire sourire tant le jeu de dupes était manifeste : des pirates qui espionnaient Kaspersky, des chercheurs qui surveillaient les espions, puis des espions qui s’aperçoivent que la campagne a été découverte. Supprimer les traces du point d’entrée revenait à se débarrasser de l’arme du crime, mais les ingénieurs n’en ont pas moins trouvé de nombreuses informations sur le fonctionnement du nouveau Duqu.
Des caractéristiques uniques
Par exemple, le malware dispose en tout d’une centaine de modules comprenant de nombreuses fausses pistes pour orienter les chercheurs vers l’Europe de l’Est ou la Chine. Mais l’aspect le plus étonnant du malware était qu’il résidait uniquement en mémoire vive, sans rien laisser sur le disque dur en dehors de quelques pilotes installés dans les serveurs. S’il était supprimé d’un poste, il pouvait revenir via la contamination d’une autre machine sur le réseau. L’opération se faisait de manière transparente et silencieuse par l’exploitation de la faille corrigée mardi par Microsoft.
Toute la facilité avec laquelle le malware se chargeait venait là encore de cette faille, qui lui ouvrait l’espace Kernel de Windows, lui permettant alors de court-circuiter complètement les mécanismes qui devaient bloquer tout chargement de code malveillant. Ses communications se faisaient par ailleurs sous forme chiffrée, les données étant alors cachées dans des images au format JPEG et GIF. Duqu arrivait même à faire passer les données collectées pour du trafic Windows habituel, jusqu’à remonter aux serveurs contaminés. Là, les pilotes installés récupéraient les informations et les transmettaient aux serveurs pirates de contrôle sous forme de flux chiffré.
Une version 2.0 qui n'a pu, elle aussi, qu'être soutenue par un État
Mais l’intégralité du fonctionnement du nouveau Duqu repose bien sur une unique faille. Pour Kaspersky, la finesse des techniques mises en place et l’exploitation très inhabituelle de la faille montrent que les pirates qui ont conçu cette menace sont particulièrement doués. Le corolaire pour l’éditeur n’est pas de bon augure : si les concepteurs sont capables de baser l’intégralité d’une campagne de vol d’informations sur une seule faille, c’est sans doute parce que d’autres armes sont prêtes à prendre le relai. Et pour cause, toute la mécanique savamment huilée ne peut que rapidement s’effondrer maintenant que la faille a été corrigée. Mais combien d’autres existent encore pour constituer une réserve dans laquelle les pirates n’ont qu’à piocher ? On se retrouve précisément dans ce qui est tant reproché à la NSA : la connaissance de brèches dont les détails ne sont pas transmis aux éditeurs.
En outre - et c'est clairement le point crucial de l’affaire - les concepteurs de Duqu 2.0 ont nécessairement le soutien d'un État. C’était le cas de Duqu, puis celui de Stuxnet, sans parler de Flame et Gauss, tous possédant des caractéristiques très particulières. Aucun nom n’est évidemment donné, mais on se rappelle qu’en février, Kaspersky avait présenté des résultats de recherche sur un groupe nommé Equation, que l’éditeur considérait comme le plus avancé au monde dans la fabrication des cybermenaces. Et si Kaspersky n’en possédait pas la preuve, il n’en soulignait pas moins les nombreuses similitudes entre les méthodes utilisées par le groupe Equation et celles de la NSA.
Kaspersky s'inquiète d'une attaque aussi frontale
L’éditeur est inquiet en fait pour plusieurs raisons. D’abord parce que les pirates ne s’en sont jamais pris à un éditeur de sécurité aussi frontalement. Un signe qu’ils sont probablement prêts à aller plus loin car ce type d’action ne peut mener qu’à l’escalade des moyens mis en œuvre. Ensuite parce qu’ils ont pris le risque de littéralement « brûler une cartouche » dans une attaque dont ils n’étaient pas certains d’en retirer des bénéfices. Mais est-ce finalement le cas ? Kaspersky pense que oui : des données ont été emportées et la société estime que les pirates se focalisaient en priorité sur la propriété industrielle, notamment les recherches menées sur les nouveaux modules de détection. Pour autant, les utilisateurs eux-mêmes ne seraient pas en danger.
D’un autre côté, Kaspersky estime que les concepteurs de Duqu ont potentiellement commis une erreur. Les enquêteurs ont actuellement du mal à comprendre pourquoi les pirates ont pris la peine de déclencher de telles hostilités pour voler des informations dont ils peuvent, dans l’absolu, se passer. En effet, les campagnes Duqu ou Stuxnet ne visaient clairement pas des machines grand public et il est trop commun de trouver des PC dans les entreprises ou des structures critiques sans aucun logiciel de protection. En attaquant et en ne se rendant pas compte de la surveillance des ingénieurs de Kaspersky, les pirates ont donné un aperçu clair des progrès réalisés de leur côté sur ces technologies. Reste à savoir si le prix à payer pour acquérir cette connaissance ne sera finalement pas trop élevé.
De la transparence et un optimisme de circonstance
Pour Kaspersky, il s’agit d’un « pari », ce qui a d’ailleurs donné le titre au rapport de presque 50 pages paru hier. Un risque calculé qui s’est presque terminé par un match nul, chaque camp ayant glané des informations sur l’autre. L’éditeur indique cependant qu’il a tenu à être transparent : « Pour une entreprise de sécurité, l’une des choses les plus difficiles est de reconnaître qu’elle a été victime d’une attaque de malware. […] nous croyons vraiment à la transparence, et c’est pourquoi nous publions les informations ci-incluses. La sécurité de nos utilisateurs reste pour nous le plus important et nous allons continuer à travailler dur pour regagner votre confiance ».
Mais en dépit de tout ce que peut annoncer Kaspersky, on ne sait rien réellement de la quantité exacte de code qui a été volée. L'éditeur se veut rassurant sur ses produits, mais il est délicat de prédire la manière dont les informations dérobées pourraient affecter les technologies actuellement employées, ou même futures. Il est possible que Kaspersky repousse ainsi l'arrivée de certaines nouveautés pour en blinder le fonctionnement. En attendant, la société russe indique que des plaintes ont été déposées, que toutes les autorités compétentes ont été contactées pour débuter les enquêtes et que les antivirus ont été mis à jour avec ce qui est désormais connu comme « HEUR:Trojan.Win32.Duqu2.gen ».
L'audit de sécurité, quant à lui, n'est pas encore terminé et il est probable qu'un nouveau rapport soit publié dans quelques semaines ou mois.
L’éditeur Kaspersky piraté par une version modernisée de Duqu
-
Une activité anormale sur le réseau
-
Le retour du grand méchant Duqu
-
Des semaines d'enquête, jusqu'à trouver le point d'entrée du malware
-
Des caractéristiques uniques
-
Une version 2.0 qui n'a pu, elle aussi, qu'être soutenue par un État
-
Kaspersky s'inquiète d'une attaque aussi frontale
-
De la transparence et un optimisme de circonstance
Commentaires (71)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/06/2015 à 09h24
Si je résume, il y avait une faille, un trou ; Ducu y est entré !
Le 12/06/2015 à 09h24
Le 12/06/2015 à 09h25
Le 12/06/2015 à 09h27
En tout bien joué, ça rend les choses faciles et agréables à lire tout en étant très riche en infos. " />
Le 12/06/2015 à 09h30
Oui pour la technique globale je suis d’accord. Je pense qu’ils ont au moins une autre faille 0day à exploiter avec le même principe. Mais que ce soit Duqu, Stuxnet, Flame ou Gauss, aucun n’était conçu pour le grand public.
(ton avatar <3)
Le 12/06/2015 à 09h41
Très chouette article. :)
Le 12/06/2015 à 09h53
Je ne comprends pas comment une boite comme Kapersky permet aux machines/laptops de leur devs et même de leurs employés d’être connectés directement à Internet (même avec proxy/FW). S’ils avaient travaillé dans un environment isolé avec un solution Citrix ou autre pour accéder au Net, tout cela ne serait pas arrivé. Maintenant leur réputation est foutue. Qui va encore utiliser leurs produits ?
Le 12/06/2015 à 10h02
On va encore nous dire que c’est la faute des admins et des utilisateurs qui font tous n’importe quoi ?
Le 12/06/2015 à 10h04
Le 12/06/2015 à 10h32
Très bon article " />
Le 12/06/2015 à 10h56
Encore une fois, un très bel article. Merci !
Le 12/06/2015 à 11h09
Le 12/06/2015 à 11h14
Merci pour cet article
ps: je l’avais dit que tout était déja écrit dans Threat Vector " />
Le 12/06/2015 à 11h32
[quote:5402687:Northernlights]Vous vous êtes retenu pour le sous titre.
Très bon article…
Et moi qui prononçait “du coup”.
Le 12/06/2015 à 11h34
Merci pour l’article :)
Le 12/06/2015 à 11h45
Le 12/06/2015 à 08h19
Snif, le comte Ducu est mort… (" />)
Le 12/06/2015 à 08h25
" /> … ça m’a plu
Le 12/06/2015 à 08h30
" />
Le 12/06/2015 à 08h32
Merci Vincent pour l’article.
Le 12/06/2015 à 08h32
Vous vous êtes retenu pour le sous titre.
Très bon article ceci dit.
Le 12/06/2015 à 08h32
Excellent article " />
Le 12/06/2015 à 08h33
Le terme de cyberguerre est vraiment pertinent, les enfants des générations futures s’amuseront surement à s’envoyer des malwares, au lieu des traditionnels jeux de guerre. à l’arme à feu ou à l’épée " />.
Le 12/06/2015 à 08h34
En tout cas on peut vraiment féliciter Kaspersky pour sa “transparence” même si comme indiqué à la fin de l’article, elle laisse quelques zones d’ombres.
Il va falloir trouver une solution pour contrôler les autorisations de flux, un peu comme signer un manifeste contenant les flux qu’une application veut faire. Si un flux apparait et n’est pas déclaré dans le manifeste = warning/interdiction
Le 12/06/2015 à 11h46
Très bon article" />
Le 12/06/2015 à 11h53
Digital Fortress de Dan Brown
Et probablement plusieurs autres ;)
Le 12/06/2015 à 12h05
La majorité des cas c’est l’interface clavier chaise qui est le Maillon faible." />
Le 12/06/2015 à 12h50
Vous êtes en forme, ça fait plaisir, mais je n’y suis pour rien. Mouhahah
" />
Excellent article qui fait quand même peur pour l’avenir.
Le 12/06/2015 à 12h56
Encore Israël et les USA ? MAIS QUEL COÏNCIDENCE !!!!!!!! " />
oh bah didons, bizarre ….
Le 12/06/2015 à 13h00
Le 12/06/2015 à 13h23
Merci pour cet article très intéressant et instructif…
Reste à savoir ou tout ça va “nous” mener; car je pense que ce n’est que le début d’ailleurs l’article le dit:
Un signe qu’ils sont probablement prêts à aller plus loin car ce type d’action ne peut mener qu’à l’escalade des moyens mis en œuvre
Kaspersky est une entreprise qui a quand même une grande réputation (en tout cas; j’ai toujours entendu parler de kaspersky en bien) et le fait d’admettre qu’ils ont été piraté va dans le bon sens.
Combien de sociétés se font pirater et ne disent rien? encore trop à mon goût
Mais comme le souligne l’article encore une fois et quelques commentaires tout n’est pas dit. Malgré tout j’apprécie les déclarations de l’éditeur d’antivirus.
Le 12/06/2015 à 14h15
Ils ont repéré au moins une faille 0day que Duqu 2.0 a pu utiliser avec succès, ainsi que deux autres critiques qui pourraient servir dans d’autres réseaux à pirater Windows Server (utilisé chez Kaspersky). Ces deux failles ont été corrigées en décembre dernier, mais la première n’a été colmatée que mardi, à l’occasion du Patch Tuesday.
J’ai ri. " />
Le 12/06/2015 à 14h20
Le 12/06/2015 à 15h11
… attends ils font la guerre à tout le monde !
Parfois ils sont même en guerre contre eux même , c’est fort quand même. " />
30 ans d’informatique : ces gens me fatiguent … on veut juste faire des logiciels pour aider les gens , pas les détruire , faudra juste leur dire cela !!!!
bon week à tous !
" />
Le 12/06/2015 à 15h17
Génial, très bon article, merci Vincent !
Le 12/06/2015 à 15h21
N’empêche qu’au delà Duqu en question, il y a Montcuq, qui restera toujours Montcuq dans Moncoeur :
YouTube
Le 12/06/2015 à 16h04
Un article captivant !!
À quand le film ?
Edit :
On a une idée de combien ça pèse un virus du genre (soft principal + plugins) ?
Le 12/06/2015 à 16h27
Ça doit dépendre du poids d’1bit; surement variable selon le support " />
======> []
Le 12/06/2015 à 16h32
Ça dépend de qui tu veux aider " />
Le 12/06/2015 à 16h40
Les états-uniens sont sûrement inquiets de la supériorité des russes dans certains domaines de la guerre électronique. L’affaire AEGIS a dû remuer quelques services.
Le 12/06/2015 à 16h53
J’ai eu plaisir à lire cet article qui explique très bien ce qui s’est passé. Chapeau bas !
Le 12/06/2015 à 17h15
Grâce à cet article, j’ai compris qu’il fallait maintenant que je ne fasse confiance qu’aux logiciels Russes.
Sinon, Kaspersky déployé en entreprise, est un véritable mouchard pour ceux qui ont le centre de contrôle.
Mouchard sur les machines contrôlées, avec déploiement de fichiers, d’analyse des HDD, mises à jour des fichiers Windows (y compris hosts) etc. Et maintenant, filtre internet.
Je n’aime pas vraiment cet A.V.
Le 12/06/2015 à 17h17
T’as oublié que si tu desactives pas le scan, il bouffe 100% du CPU " />
Le 12/06/2015 à 17h20
Le 12/06/2015 à 17h38
Excellent article comme souvent sur NXI …
Je vous recommande aussi de lire ou re-lire “le nid du coucou” de Clifford Stoll, ce bouquin est sorti en 1989, mais c’est passionnant.
  Amazon
" />
Le 12/06/2015 à 19h09
On se rend compte du pétrin dans lequel se sont mises les administrations et entreprises qui utilisent Windows .
Le 12/06/2015 à 20h59
Vent mauvais => LOL
Vous oubliez de préciser que selon Snowden, OUI, Duqu et son code viennent bien des USA (la NSA) en collaboration avec Israël, c’est confirmé.
Le 12/06/2015 à 20h59
Tout a fait nigol
Le 13/06/2015 à 04h17
Très bon article romancé
Le 13/06/2015 à 13h01
je comprenais pas pourquoi le PC devenait lent d’un coup et a peu près toujours au meme moment de la journée, après un petit tour dans les processus, tu vois un truc qui bouffe tout avec le libellé Kaspersky, enfoiré !! " />
Le 14/06/2015 à 17h32
Très bon article.
Bravo " />
Le 15/06/2015 à 05h20
“The attackers can deploy two types of packages to their victims:
• “Basic”, in-memory remote backdoor (~500K)
• Fully featured, C&C-capable, in-memory espionage platform (18MB)”
Source (p.6)
Le 15/06/2015 à 08h30
Le 15/06/2015 à 19h28
Merci !
Le 16/06/2015 à 08h16
En effet, la meilleure solution pour tester la solidité d’un virus c’est de l’implanter directement chez un des principaux éditeurs… d’ailleurs pourquoi ne serait-il pas chez les autres éditeurs aussi?
Kaspersky aurait-il été le seul à le découvrir?
Et ainsi, une fois le virus découvert, le hacker sait dès lors qu’il ne faut plus l’utiliser et en changer… indéfiniment.
Le 12/06/2015 à 08h34
Merci pour cet article très bien expliqué !
Le 12/06/2015 à 08h35
ça sent bien la NSA quand même " />
Le 12/06/2015 à 08h36
Très bon article
Le 12/06/2015 à 08h37
Le 12/06/2015 à 08h41
Après avoir lu l’article, j’ai l’impression que les concepteurs de Duqu2 tâtaient le terrain avec un test grandeur nature avant une autre offensive bien plus vaste.
Le 12/06/2015 à 08h43
Très bon article une nouvelle fois, merci !
Le 12/06/2015 à 08h43
Balèze l’article !!!
Merci
Le 12/06/2015 à 08h47
Donc d’un côté, on a ce type de malware, assez sophistiqué pour tromper un temps des employés d’un éditeur d’antivirus reconnu, et de l’autre, l’éditeur justement qui s’inquiète de voir ressortir Duqu et ses cousins…
Avec au centre les gens lambda, aussi important pour l’un que pour l’autre qui, pour la plupart, ne cherchent pas forcément à aller plus loin que l’installation d’un antivirus. Je me demande qui des deux premiers va gagner sur ce terrain-là… Et je crains que ce ne soit pas forcément la sécurité des gens :/
Le 12/06/2015 à 08h50
Le 12/06/2015 à 08h52
Le 12/06/2015 à 08h53
Très bon article. Après j’ai du mal à me sentir visé par ce genre de virus/malware/menace en tant qu’utilisateur lambda.
C’est pas mon petit compte en banque qu’ils vont venir vider. Je pense pas que ca couvre tous les investissements honnêtement.
Après une entreprise ou un pays la oui ça fait peur…
Le 12/06/2015 à 08h58
Article passionnant.
Les prochaines guerres se préparent…
Quels dégâts pourraient causer une guerre numérique? sans doute beaucoup plus sur l’économie qu’une guerre “traditionnelle”…
Le 12/06/2015 à 09h02
Le 12/06/2015 à 09h06
Excellent article. Je me suis assez marré sur la façon très “roman” de raconter l’histoire. Vincent, je crois que tu viens d’inventer un nouveau genre, le roman de guerre … électronique avec au programme menace caché, jeux de faux-cul et suspense insoutenable.
@u commentaires précédents : Très bon les jeux de mots avec duqu.
Le 12/06/2015 à 09h08
L’avantage de faire installer leur malware chez des gens peu avertis, équipés ou non de Kaspersky, c’est que malware ou pas, du moment que la personne peut utiliser son PC, ça roule. Or, Duqu semble vouloir se cacher pour opérer, et donc se faire passer pour un programme légitime.
Enfin bon, j’imagine que tu as raison, parce que si le(s) créateur(s) de Duqu voulaient s’en prendre à une masse de gens, ils auraient plutôt attaqué des éditeurs plus influents en termes de parts de marché, du genre Avast ou Avira.
Le 12/06/2015 à 09h19
C’était une vraie volonté en fait, surtout parce que l’angle chronologique permettait je pense de mieux appréhender l’ensemble des infos (très nombreuses) de cette histoire.