L’éditeur de solutions de sécurité Kaspersky a publié hier ses travaux de recherche sur une grande campagne d’espionnage informatique. Les chercheurs ont ainsi surveillé l’activité d’un malware bien particulier, nommé NetTraveler, et la manière dont il s’est répandu dans une quarantaine de pays.
Selon Kaspersky, NetTraveler est un malware qui sévit depuis plusieurs années dans environ 40 pays. Il est au centre d’une vaste campagne d’espionnage s'attaquant à des cibles de haute valeur. La carte ci-dessus montre les pays victimes de cette campagne. On remarque que ce sont surtout les pays de l’est qui sont touchés, le continent nord-américain, le Moyen-Orient ou encore l’Australie. Les icônes représentent la cible prioritaire de cet espionnage, et on peut voir facilement qu’il s’agit de la même : les ressources diplomatiques.
Dans tous les cas, les informations volées étaient stratégiques. Quand il ne s’agissait pas de diplomatie, ce pouvait être des travaux scientifiques, via l’infection des ordinateurs d’un centre de recherche, d’universités ou de sociétés privées, ou encore des secrets professionnels provenant d’entreprises.
Un malware vieux d'au mois huit ans
Les premiers échantillons du malware obtenus par Kaspersky datent de 2005, mais les chercheurs indiquent que certains signent vers une existence remontant à 2004. La surveillance a permis d’estimer à environ 50 le nombre de personnes travaillant autour du NetTraveler et du réseau d’espionnage qui l’accompagne. Dans une majorité de conversations, c’est la langue chinoise qui prédomine.
Un gigantesque filet pour retenir les données
Kaspersky a en outre pu analyser le comportement d’un serveur C&C (Command & Control) et a découvert que le malware NetTraveler travaille le plus souvent en concordance avec d’autres. Les machines infectées reçoivent ainsi des portes dérobées, notamment Saker/Xbox et PCRat/Zegost, et le malware est de fait plutôt à considérer comme un toolkit. L’infection d’origine, quant à elle, provient de pièces jointes malveillantes, dissimulées au coeur de documents Office. Une fois en place, NetTraveler agit comme un filtre capable de retenir de grandes quantités de données sur une longue période, et utilisant divers systèmes de compression et de transmission pour s’assurer que l’envoi des données se déroule sans problème.
Des informations stratégiques
Les informations volées revêtent pour leur part des formes très variées. Il peut ainsi s’agir de listes de fichiers système, de tout un panel de documents aux formats DOC, XLS, PPT, PDF et autres, de séquences d’enregistrements de frappes au clavier (keylogs), de documents AutoCAD et globalement de données privées. Selon Kaspersky, les serveurs C&C stockeraient ainsi 22 Go d’informations acquises frauduleusement, mais il ne s’agit que d’une fraction de l’ensemble : le reste aurait été tout simplement déjà récupéré et supprimé par les auteurs du malware.
Les chercheurs indiquent en outre qu’il y a une évolution récente dans les cibles. Les domaines attaqués sont plus souvent liés à l’exploration spatiale, les nanotechnologies, la production d’énergie, l’inévitable puissance nucléaire, les lasers, la médecine et les communications en général.
Enfin, si la carte affichée dans cette actualité vous semble familière, c’est qu’elle ressemble pour beaucoup à celle de l’opération Octobre Rouge, également dévoilée par Kaspersky. Il s’agit pourtant de deux campagnes différentes, sans liens apparents pour les chercheurs. Pourtant, six cibles contenaient les deux malwares : une entreprise militaire en Russie, un organe gouvernemental du Tadjikistan, ainsi que les ambassades de Belgique, du Belarus, d’Iran et du Kazakhstan.
Commentaires (40)
C&C (Command & Conquer)
PS : d’ailleurs il manque les zones bleues et jaunes sur la carte
Un malware vieux d’au “mois” huit ans ==> “moins” ce serait mieux non ? :-)
Ya donc rien d’intéressant en France
" />
je veux pas balancer, mais hors amérique du sud, on ne serait pas un des seuls “grands” pays non affecté ?
" /> Nan, on oserait pas…
Apparemment ils font de la recherche au Pakistan !
" />
Il cherche quoi ? Des mines ?
” Il est au centre d’une vaste campagne d’espionnage s’attaquant à des cibles de haute valeur”
" />
maintenant on en est sur, la France n’est pas une grande valeur, mais le chili le maroc et le surinam oui
sans oublier le fameux pare-feu open office hein :P
Cette fois-ci, rien pour la France
Normal on a le pare-feu Open Office
Nous on est protégés par le firewall d’openoffice, l’explication est pourtant simple !
" />
Mayrde, on n’est même plus assez intéressants pour se faire espionner
" />
J’suis sûr que c’est le Groënland.
" />
L’infection d’origine, quant à elle, provient de pièces jointes malveillantes, dissimulées au coeur de documents Office.
Les entreprises victimes ont aussi leur part de responsabilité…
A partir du moment où tu as deux réseaux, dont un déconnecté d’internet, et que tu respectes des procédures simples, genre bannir les clés USB, ça ne doit pas arriver.
ca sert plus à rien: suffit de taper dans les bases de facebook et linkedin. Avec un peu d’ingénierie sociale… done.
:-)
Il est juste possible que kaspersky n’ait pas de clients dans un domaine stratégique en France non?
Vu les liens de je t’aime moi non plus mais surtout ton gaz qu’on a à la Russie ce ne serait pas étonnant.
NetTraveler, une campagne mondiale d’espionnage stratégique et industriel
On a sans doute qq données utiles sur le nucléaire en France, mais il n’est pas utile de cibler la France, car tous nos secrets intéressants sont déjà au mains des entreprises ou entités ciblées dans les autres pays
une campagne mondiale d’espionnage
S’ils espionnent le PS :eeek2 :ils seront au courrant de toutes les nouvelles taxes Hollandèsques qui vont nous tomber sur le coin de la g….