Une vaste opération de cyberespionnage en cours depuis 2007

« L’une des attaques persistantes avancées les plus complexes que nous ayons observées. » C’est par ces termes que les équipes de Kaspersky décrivent Careto, ou « le masque », une vaste opération de cyberespionnage active depuis 2007 et sur laquelle elles viennent de lever le voile. Pour les chercheurs de l’éditeur, Careto s’avère plus sophistiqué que Duqu, Gauss, RedOctober, ou encore Icefog. Et pour cause. L’attaque Careto s’appuie notamment sur un rootkit, un bootkit, des versions Windows 32 et 64 bits, Mac OS X, Linux, et peut-être Android et iOS. Rien que cela. Une fois installé et actif, il peut intercepter le trafic réseau, les frappes au clavier, les échanges Skype, les clés PGP, procéder à des captures d’écran, récupérer des clés de chiffrement et SSH, des configurations VPN ou encore des fichiers RDP. Parmi les types de fichiers qu’il surveille, Kaspersky suspecte en outre des outils de chiffrement spécifiquement développés pour des gouvernements ou des armées. Pour le reste, Careto se propage sans surprise par hameçonnage ciblé, se cachant derrière des certificats valides, signés par une prétendue entreprise bulgare. L’un des deux, valide de 2013 à 2016, a été placé sur liste noire par VeriSign.

Le logiciel malveillant fait en outre tout pour se cacher. Il est capable de ne pas apparaître dans des versions anciennes des produits de Kaspersky Labs et communique avec ses serveurs de commande et de contrôle en s’appuyant sur un protocole chiffré, sur HTTP ou HTTPS. Les chercheurs de l’éditeur russe relèvent que ces serveurs sont configurés pour refuser les tentatives de connexion émanant de spécialistes de la sécurité tels qu’eux-mêmes, mais également TrendMicro, BlueCoat ou encore Eset.

Au total, Kaspersky a identifié plus d’un millier d’adresses IP de victimes dans 31 pays, et « au moins 380 identifiants de victimes différentes ». L’éditeur précise que, quelle que soit la méthode de classification retenue, « l’Espagne, la France et le Maroc apparaissent dans le top 5 » des victimes. Avec des cibles relevant d’administrations publiques, de représentations diplomatiques, d’industriels de l’énergie, d’organismes de recherche, d’investisseurs privés ou encore d’activistes.

Au final, les chercheurs de l’éditeur estiment que les méthodes à l’oeuvre avec Careto classent l’opération dans la catégorie « élite » des APT. Et de souligner que les auteurs de l’attaque utilisent « au moins un exploit qui, selon les médias, a été vendu à des gouvernements comme un inédit par le français Vupen ». Autant d’éléments qui conduisent Kasperky à soupçonner une « campagne soutenue par un Etat-Nation ».