xiaoliangge - Fotolia

Slingshot : le renseignement américain grillé plus vite qu’avec Stuxnet

La paternité de ce logiciel malveillant visant les routeurs MicroTik, récemment détaillé par les chercheurs de Kaspersky, a été revendiquée par des pontes du renseignement américain, sous couvert d’anonymat.

Il avait fallu attendre près de six mois pour qu’émergent les premiers éléments tendant à attribuer Stuxnet aux Etats-Unis et à Israël. Pour Slingshot, quelques semaines auront suffi. Des « officiels du renseignement américain » l’affirment ainsi sous couvert d’anonymat, à nos confrères de CyberScoop : ce logiciel malveillant observé dans des routeurs de marque MicroTik, principalement dans l’ouest africain et au Moyen-Orient, est utilisé pour espionner les membres des groupes Daesh et Al-Qaïda, dans le cadre d’un programme militaire américain. Selon eux, le programme serait désormais « grillé ». Et la confirmation qu’ils apportent en la matière n’aide probablement pas.

Mais peut-être y’a-t-il une énième tentative de discréditer Kaspersky, qui se démène outre-Atlantique pour faire annuler le bannissement dont il a fait l’objet par le ministère de l’Intérieur américain, et qui a commencé à faire des vagues sur le Vieux Continent. Car c’est l’éditeur russe qui a levé le voile, début mars, sur Slingshot.

Dans un billet de blog, quatre chercheurs de Kaspersky détaillaient ainsi « une nouvelle plateforme d’attaque hautement sophistiquée qui rivalise de complexité avec Project Sauron et Regin », qui serait en activité depuis 2012. Celle-ci utilise des routeurs compromis comme vecteur de distribution pour deux modules malicieux, l’un s’exécutant dans l’environnement du noyau Windows, et l’autre dans celui de l’utilisateur. Le premier, Chanadr, injecte et supporte le second, tout en surveillant les activités réseau. Le second se charge de collecte saisies clavier, données du presse-papiers, des périphériques, etc. Il peut exécuter des processus avec les privilèges les plus élevés et se charge de chiffrer deux fois les données collectées avant de les envoyer à un centre de commande et de contrôle.

Les chercheurs reconnaissent ne pas savoir comment les routeurs ont été compromis. Mais ils rappellent qu’un exploit dédié à cette tâche figurait dans la série Vault7 des révélations de Wikileaks sur les activités de la CIA. Dans leurs conclusions, ils relèvent des techniques déjà observées par le passé dans des maliciels issus des plateformes Grayfish du groupe Equation, et de White Lambert, mais également Turla. Ce dernier groupe est soupçonné de liens avec la Russie, tandis que les deux premiers seraient liés au renseignement américain.

Mais si les chercheurs de Kaspersky soulignent que « la plupart des messages de debug trouvés dans la plateforme sont écrits dans un anglais parfait », ils se gardent bien de toute attribution : « nous n’avons pas été capables de trouver de liens concluants avec un groupe avancé antérieurement connu ». Peut-être viennent-ils de s’en voir offrir un, sur un plateau.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close