24 janvier 2013

Opération “Red October”

Logo BSSI

L’opération « Red October » est le nom donné à l’opération de mise en place d’un réseau de cyber-espionnage très sophistiqué qui a été lancée en 2007. Ce réseau a été médiatisé en janvier 2013 par Kaspersky.

 

Pourquoi monter un réseau de cyber-espionnage ?

Les motivations et les sources de l’attaque sont inconnues pour le moment. Une telle opération nécessite un grand nombre de personnes à plein temps. Il y a actuellement deux pistes privilégiées : cela peut être une vaste campagne d’espionnage d’un Etat ou bien une opération d’Intelligence Economique visant à revendre les informations sensibles sur le marché noir.

 

Quelles sont les cibles du réseau « Red October » ?

«  Red October » est un réseau de cyber-espionnage touchant de nombreux organismes : des administrations diplomatiques ou gouvernementales, des groupes industriels de l’énergie et du nucléaire ; des entreprises du commerce ou encore de l’aéronautique. La zone d’espionnage serait essentiellement concentrée dans les pays d’Europe de l’Est, du moyen orient et de l’Asie centrale, mais touche également l’Europe occidentale (dont la France) et les Amériques du Nord et du Sud.

Le but de cette opération est de voler des données sensibles et confidentielles, par exemple, des renseignements géopolitiques, des données financières, des données de recherche et développement mais également des codes d’accès à des systèmes et ressources sensibles. Les informations dérobées permettent indirectement d’alimenter les sources pour de futures attaques ciblées (APT).

 

Comment s’étend le réseau de cyber-espionnage ? 

Le réseau est basé sur la propagation d’un malware qui permet récupérer les configurations des équipements réseaux (cisco), explorer les fichiers d’une machine (même celles qui sont effacés tant qu’elles restent en mémoire), dévoiler l’historique de navigation web, absorber le contenu de périphériques amovibles ou de fichier réseau partagé (FTP).

Ce malware est placé dans une pièce jointe d’un mail. Pour s’exécuter, il exploiterait d’anciennes failles de Microsoft Office (word et excel notamment) et Java :

  • CVE-2009-3129 (fichier XLS)
  • CVE-2010-3333 (fichier DOC)
  • CVE-2012-0158 (fichier DOC)
  • CVE-2011-3544 (page WEB)
  • CVE-2008-4250 (réseau LOCAL)

Une fois la pièce jointe ouverte, le malware déploie ses chevaux de Troie (backdoor) et permet à 34 modules avec des fonctions différentes, de dérober et transmettre les informations aux cyber-espions.

Le virus est capable de se propager sur des postes de travail mais également sur les Smartphones ou les équipements réseaux (cisco) et il n’est pas détecté par les anti-virus.

Les informations volées sont redirigées vers des machines contrôlés par les cyber-espions. Les experts de Kaspersky ont estimé ce nombre de machines à plus de 250 (IP différentes) mais que cela ne représente qu’une estimation des enregistrements entre 2010 et 2012.

Le réseau repose également sur plus de 60 noms de domaine reliés à des serveurs en Allemagne ou en Russie [1]. Depuis la médiatisation de « Red October », certains de ces serveurs ont été coupés afin de ne pas pouvoir remonter les traces. La liste non exhaustive de 26 adresses IP associées aux attaquants a été diffusée [2].

 

Comment savoir si la machine est infectée et se protéger du vol d’informations ?

Il n’y a pas de méthode diffusée pour le moment pour déterminer si une machine est infectée. Cependant, certaines vulnérabilités exploitées par le malware sont connues. Il est donc recommandé d’installer les patchs suivants afin de protéger les postes de travail [3]:

  • Microsoft Security Bulletin MS09-067 –Vulnérabilité Microsoft Office Excel (972652) – http://technet.microsoft.com/en- us/security/bulletin/MS09-067
  • Microsoft Security Bulletin MS10-087 – Vulnérabilité Microsoft Office (2423930) – http://technet.microsoft.com/en- us/security/bulletin/MS10-087
  • Microsoft Security Bulletin MS12-027 – Vulnérabilité environnement Windows (2664258) – http://technet.microsoft.com/en- us/security/bulletin/ms12-027
  • Microsoft Security Bulletin MS08-067 – Vulnérabilité de services Windows serveur (958644) – http://technet.microsoft.com/en- us/security/bulletin/ms08-067

 

Sources :

http://www.securelist.com/en/analysis/204792262/Red_October_Diplomatic_Cyber_Attacks_Investigation
http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage
http://magazine.qualys.fr/menaces-alertes/kaspersky-octobre-rouge-sensibilisation/
http://arstechnica.com/security/2013/01/why-red-october-malware-is-the-swiss-army-knife-of-espionage/
http://www.cnis-mag.com/espionnage-red-october-quand-les-journalistes-resonnent.html
http://www.france24.com/fr/20130115-red-october-reseau-cyber-espionnage-diplomatie-etat-attaque-informatique-finance-virus-smartphone-iphone-internet
http://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/20130114trib000742403/red-october-la-nouvelle-attaque-de-cyberespionnage-a-grande-echelle.html


[1] Chapitre 3. Command and control domains : http://www.securelist.com/en/downloads/vlpdfs/redoctober-indicatorsofcompromise.pdf

[2] Chapitre 4. IPs used in the attack : http://www.securelist.com/en/downloads/vlpdfs/redoctober-indicatorsofcompromise.pdf

[3] Chapitre 9 : Vulnerabilities and patches : http://www.securelist.com/en/downloads/vlpdfs/redoctober-indicatorsofcompromise.pdf

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *