Les malfaiteurs ne s’intéressent pas seulement aux fonctionnaires et aux diplomates : les ordinateurs d’organisations scientifiques, commerciales, militaires ont également été contaminés. Crédit photo : Kommersant photo
Les actions des cyber criminels étaient dirigées sur la réception d’informations codées et de données ouvrant l’accès à des systèmes informatiques, des téléphones portables personnels et des réseaux corporatifs, mais aussi concernant des renseignements à caractère géopolitique.
La majorité des attaques a concerné la Russie, les républiques d’ex-URSS, les pays d’Europe de l’ouest, mais aussi un certain nombre d’États d’Asie centrale.
En octobre 2012, des experts du "Laboratoire Kasperski" ont commencé à enquêter sur une série d’attaques contre des réseaux informatiques de représentants diplomatiques internationaux.
Au cours de l’enquête sur ces incidents, les spécialistes ont découvert un réseau d’espionnage informatique de grande ampleur. À partir des résultats de l’analyse, les experts sont venus à la conclusion que l’opération "Octobre rouge" avait déjà commencé en 2007 pour continuer jusqu’à maintenant.
"Notre enquête avait commencé après la réception de dossiers d’un de nos partenaires qui a souhaité rester anonyme. Nous avons très vite compris que nous avions affaire à un des réseaux d’espionnage informatique les plus importants que nous ayons rencontrés", a expliqué à CNews Vitali Kamliouk, expert du "Laboratoire Kasperski".
"La qualité et la diversité de la dangerosité du code de cette campagne est tout simplement incroyable : plus de 1000 fichiers uniques et 34 types de modules différents. De plus, nous supposons que nous avons accès qu’à une simple partie de la totalité du réseau qui en réalité est beaucoup plus grand et étendu".
Pendant 5 ans, les attaques ont contaminé près de trois cents ordinateurs et dispositifs mobiles et ont piraté des centaines de téra-octets d’informations, en utilisant plus de 60 noms de domaines, ont dénombré les analystes du laboratoire. Selon leurs données, les domaines étaient installés dans des serveurs intermédiaires ayant des adresses IP russes et allemandes. Où se situe le serveur principal ? Personne ne le sait.
Les mots russes et le jargon utilisés dans le texte des modules du virus permettent de supposer que leur code a été rédigé par des programmeurs de langue russe, mais les experts du "Laboratoire Kasperski" n’ont pas réussi à déterminer leur appartenance et les buts des pirates informatiques.
Les malfaiteurs ne s’intéressent pas seulement aux fonctionnaires et aux diplomates : les ordinateurs d’organisations scientifiques, commerciales, militaires, et des compagnies de la sphère nucléaire, pétrolière et aéronautique ont également été contaminés.
}
Les criminels ont piraté, à partir des systèmes contaminés, des informations contenant des dossiers de différents formats. Parmi eux, les experts ont découvert des dossiers avec l’extension acid ce qui signifie qu’ils appartiennent au programme secret de protection des données Acid Cryptofiler, qui est utilisé par un certain nombre d’organisations dont l’Union européenne et l’OTAN font partie.
Des données ont fui de la structure des dossiers, mais le "Laboratoire Kasperski" a préféré ne pas les ouvrir avant d’avoir accompli l’enquête.
Dans la majorité des cas, la contamination a eu lieu via la messagerie électronique, c’est pourquoi pour chaque attaque, un message, susceptible d’intéresser le propriétaire de la messagerie visée par l’attaque était préparé, a noté Vitali Kamliouk dans un entretien à Vedomosti.
Par exemple, cela pouvait consister en des annonces pour l’achat d’une voiture diplomatique. Dans la composition du message se trouvait un programme de cheval de Troie spécial, pour l’installation duquel les lettres contenaient des systèmes d’exploitation profitant des vulnérabilitésdans Microsoft Office.
Ces systèmes d’exploitation étaient conçus par des malfaiteurs étrangers et avaient été utilisés plus tôt dans diverses cyber attaques visant les activistes tibétains, les secteurs militaires ou de l’armement dans un certain nombre d’États d’Asie.
Parmi les caractéristiques des logiciels les plus remarquables utilisés par les cyber criminels , les experts de Kasperski notent la présence d’un module permettant de "ressusciter" les machines infectées. Le module fonctionne comme un plugging sur Adobe reader ou Microsoft Office et fournit aux pirates un nouvel accès au réseau au cas où le programme de base serait détecté, effacé ou s’il y avait une mise à jour du système. En outre, il permet de voler des données sur des téléphones portables.
L’enquête du "Laboratoire Kasperski" se poursuit en collaboration avec des organisations internationales, des organes de défense des droits et des équipes nationales de réaction aux incidents informatiques (Computer Emergency Response Teams, CERT).
Pendant les vingt dernières années, les cyber attaques d’espionnage ont évolué d’attaques isolées utilisant la vulnérabilité concrète du système pour arriver à des systèmes conçus sur une grande échelle, a indiqué le directeur en fonction de Peak Systems, Maxime Em, au journal Vedomosti.
Pour recevoir des informations, il n’y a souvent plus besoin d’attaques ciblées : il faut des ordinateurs (par exemple dans des bâtiments d’État) infectés à l’avance et leur accès se fait par les propriétaires debotnets (des réseaux de PC infectés), explique-t-il.
On peut se protéger de telles attaques à l’aide de l’utilisation simultanée de moyens technologiques comme l’installation d’antivirus (la connaissance de quel antivirus utilise la victime aide les pirates à rester inaperçus) et de mesures organisatrices – l’interdiction d’ouverture de liens et le rejet des lettres avec une adresse inconnue, l’utilisation d’une cellule de mémoire externe dans les réseaux internes et externes, affirme Kamliouk.
Plus l’échelon de protection informatique d’une organisation est élevé, moins il est possible de s’introduire dans le système ; on installe des mises à jour à temps des programmes, on évite les logiciels d’origine non contrôlée, on installe des programmes antivirus et enfin les ordinateurs contenant des informations secrètes sont physiquement séparés des ordinateurs connectés à internet, ajoute Em.
Sources : RBC Daily, Vedomosti.ru, CNews.
Dans le cadre d'une utilisation des contenus de Russia Beyond, la mention des sources est obligatoire.
Abonnez-vous
gratuitement à notre newsletter!
Recevez le meilleur de nos publications directement dans votre messagerie.