NetTraveler, une campagne mondiale d’espionnage stratégique et industriel

L’éditeur de solutions de sécurité Kaspersky a publié hier ses travaux de recherche sur une grande campagne d’espionnage informatique. Les chercheurs ont ainsi surveillé l’activité d’un malware bien particulier, nommé NetTraveler, et la manière dont il s’est répandu dans une quarantaine de pays.

Selon Kaspersky, NetTraveler est un malware qui sévit depuis plusieurs années dans environ 40 pays. Il est au centre d’une vaste campagne d’espionnage s'attaquant à des cibles de haute valeur. La carte ci-dessus montre les pays victimes de cette campagne. On remarque que ce sont surtout les pays de l’est qui sont touchés, le continent nord-américain, le Moyen-Orient ou encore l’Australie. Les icônes représentent la cible prioritaire de cet espionnage, et on peut voir facilement qu’il s’agit de la même : les ressources diplomatiques.

Dans tous les cas, les informations volées étaient stratégiques. Quand il ne s’agissait pas de diplomatie, ce pouvait être des travaux scientifiques, via l’infection des ordinateurs d’un centre de recherche, d’universités ou de sociétés privées, ou encore des secrets professionnels provenant d’entreprises.

Un malware vieux d'au mois huit ans 

Les premiers échantillons du malware obtenus par Kaspersky datent de 2005, mais les chercheurs indiquent que certains signent vers une existence remontant à 2004. La surveillance a permis d’estimer à environ 50 le nombre de personnes travaillant autour du NetTraveler et du réseau d’espionnage qui l’accompagne. Dans une majorité de conversations, c’est la langue chinoise qui prédomine.

Un gigantesque filet pour retenir les données 

Kaspersky a en outre pu analyser le comportement d’un serveur C&C (Command & Control) et a découvert que le malware NetTraveler travaille le plus souvent en concordance avec d’autres. Les machines infectées reçoivent ainsi des portes dérobées, notamment Saker/Xbox et PCRat/Zegost, et le malware est de fait plutôt à considérer comme un toolkit.  L’infection d’origine, quant à elle, provient de pièces jointes malveillantes, dissimulées au coeur de documents Office. Une fois en place, NetTraveler agit comme un filtre capable de retenir de grandes quantités de données sur une longue période, et utilisant divers systèmes de compression et de transmission pour s’assurer que l’envoi des données se déroule sans problème.

Des informations stratégiques 

Les informations volées revêtent pour leur part des formes très variées. Il peut ainsi s’agir de listes de fichiers système, de tout un panel de documents aux formats DOC, XLS, PPT, PDF et autres, de séquences d’enregistrements de frappes au clavier (keylogs), de documents AutoCAD et globalement de données privées. Selon Kaspersky, les serveurs C&C stockeraient ainsi 22 Go d’informations acquises frauduleusement, mais il ne s’agit que d’une fraction de l’ensemble : le reste aurait été tout simplement déjà récupéré et supprimé par les auteurs du malware.

Les chercheurs indiquent en outre qu’il y a une évolution récente dans les cibles. Les domaines attaqués sont plus souvent liés à l’exploration spatiale, les nanotechnologies, la production d’énergie, l’inévitable puissance nucléaire, les lasers, la médecine et les communications en général.

Enfin, si la carte affichée dans cette actualité vous semble familière, c’est qu’elle ressemble pour beaucoup à celle de l’opération Octobre Rouge, également dévoilée par Kaspersky. Il s’agit pourtant de deux campagnes différentes, sans liens apparents pour les chercheurs. Pourtant, six cibles contenaient les deux malwares : une entreprise militaire en Russie, un organe gouvernemental du Tadjikistan, ainsi que les ambassades de Belgique, du Belarus, d’Iran et du Kazakhstan.