Longhorn, une émanation de la CIA ?

Les équipes de Symantec suivent depuis 2014 un groupe d’attaquants qu’elles ont appelé Longhorn. Dans un billet de blog, elles expliquent qu’il est actif depuis au moins 2011 - avec des indices remontant à 2007 - et a conduit des attaques contre au moins 40 cibles dans 16 pays différents, en employant « un vaste éventail de chevaux de Troie en plus de vulnérabilités inédites » : « gouvernements et organisations opérant à l’international, en plus de cibles dans les secteurs des services financiers, des télécommunications, de l’énergie, de l’aérospatiale, des technologies de l’information, de l’enseignement, et des ressources naturelles ». Et d’ajouter que « toutes les organisations visées présenteraient un intérêt pour un attaquant de type état-nation ». 

L’Europe n’a pas été épargnée par ces opérations qui apparaissent avoir été hautement ciblées et préparées scrupuleusement. Pour Symantec, les outils de Longhorn ont été conçus spécifiquement « pour des opérations de type espionnage ». Selon l’éditeur, nombre d’éléments portaient à penser à un groupe anglophone, basé en Amérique du Nord, et œuvrant aux heures de bureau.  

Début mars, Wikileaks a commencé à distiller une grande quantité de documents hautement sensibles et attribués à la CIA, dite « Vault 7 ». Cisco s’est penché dessus pour découvrir une faille critique dans ses équipements. Les équipes de Symantec s’y sont également intéressées et plusieurs éléments ont attisé leur curiosité.

Cela commence par un document qui présente la chronologie de développement d’un logiciel malveillant baptisé Fluxwire : « ces dates coïncident étroitement avec le développement d’un outil de Longhorn suivi par Symantec », Corentry. Pour l’éditeur, le doute n’est pas permis : les deux logiciels ne font qu’un. 

Vient ensuite un document détaillant les spécifications d’un mécanisme d’injection de charge malicieuse, appelé Fire and Forget, par l’outil Archangel. Pour Symantec, ces spécifications renvoient assurément à un autre outil de l’arsenal de Longhorn : Plexor. 

Mais ce n’est pas tout. Dans le lot Vault 7, les équipes de Symantec ont repéré les détails de protocoles cryptographiques évolués qui, assurent-elles, correspondent aux pratiques observées dans les outils du groupe Longhorn. Et cela vaut également pour certaines méthodes de communication avec les serveurs de commande et de contrôle s’appuyant sur le protocole RTP, ou encore de masquage/démasquage de chaînes de caractères en mémoire vive et d’effacement sécurisé.

Pour Symantec,« si d’autres familles de logiciels malveillants sont connus pour utiliser certaines de ces pratiques, le fait qu’autant d’entre elles soient suivies par Longhorn est remarquable ». Et dès lors, il n’y a que « peu de doute quant à son lien avec Vault 7 ».