Red October : à l’assaut des gouvernements mondiaux depuis 2007, la France ciblée

Hier, l’éditeur d’antivirus Kaspersky a dévoilé « Red October », une vaste opération de cyber-espionnage active depuis 2007 à l’écoute d’organisations étatiques, militaires, scientifiques et économiques au niveau mondial.

Après plusieurs mois de recherches, et avec l'aide d’un anonyme leur ayant transférés des documents et des binaires suspects, l’éditeur Kaspersky a dévoilé hier l’une des plus grandes opérations de cyber-espionnage existantes, «Red October» ou « RoCra», active depuis 2007.

De quoi s’agit-il?

«Red October» est une opération de cyber-espionnage visant les représentations diplomatiques et les administrations de divers pays à travers le monde, mais aussi des organismes de recherche, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l'aéronautique, via l’utilisation d’un malware spécifique. Les premières attaques répertoriées datent de 2007.

Rocra map

Qui est touché?

Plus de 250 adresses IP ont été infectées à travers le monde. «Il n’y a pas vraiment de pays plus ciblés que d'autres », explique Nicolas Brulez, expert en malwares de Kaspersky labs. Toutefois, il note que « les pays de l’ex-URSS ont été davantage pris pour cible que les autres dans nos statistiques avec notamment la Russie (15 systèmes), le Kazakhstan et l’Azerbaïjan." La Belgique, l’Inde, l’Afganistan et l’Arménie ont également été dans le viseur. En France, quatre attaques ont été recensées contre des sites gouvernementaux (probablement des représentations étatiques étrangères) et militaires, sans que l’éditeur ne dévoile plus d’informations sur les cibles pour des raisons de confidentialité. En revanche, il est impossible de savoir combien d’ambassades françaises ont été touchées à l’étranger.

Comment Red October s’infiltre-il?

De façon classique, les cyber-criminels envoient un email contenant un document infecté à leurs victimes contenant un cheval de Troie personnalisé. Plus spécifiquement, les documents sont infectés via trois failles connues dans Excel et Word. De là, le PC infecté scanne le réseau local pour se propager en utilisant des identifiants trouvés sur le site ou les mêmes failles que Conficker. Il peut alors non seulement récupérer les données venant des postes de travail, mais également des terminaux mobiles des employés (sous iOS, SymbianOS ou Windows Mobile) et stockés sur des disques amovibles, même après un effacement simple. La liste des modules pouvant être utilisés par Red October est disponible ici.

D’où vient cette attaque?

«La majorité des noms de domaines impliqués ont été enregistrés à partir de sites Web russes et avec des noms russes, mais de là à dire que l’attaque est russe à proprement parlé, on ne peut pas le faire », explique Nicolas Brulez. Les noms de domaine redirigeaient vers des proxys en Russie et en Allemagne, qui eux même redirigeaient vers trois autres serveurs eux-aussi dans ces deux pays, renvoyant vers un dernier serveur à cette heure encore non localisé.

Cette attaque est-elle encore en cours?

«Depuis notre annonce hier, nous avons constaté que l’infrastructure se ferme peu à peu depuis minuit », affirme Nicolas Brulez.

Comment se protéger?

Comme d’habitude, il faut avoir les bons réflexes: un système d’exploitation et des logiciels à jour, ainsi qu’une protection antivirale, elle aussi à jour. Red October n’exploitait que des failles déjà connues des produits Microsoft pour lesquels il existait déjà des rustines. Il faut également éduquer les cibles finales pour éviter autant que possible l’ouverture des documents infectés à la réception d’un courrier électronique suspect.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close