Comment un maliciel vieux de deux décennies peut-il encore faire des dégâts ?
Voici près de vingt ans, des pirates russes pénétraient des serveurs militaires américains grâce à un ‘exploit’ ultra-puissant et dérobaient des secrets défense. Ces dernières années, le code utilisé est réapparu dans de nombreuses cyber-attaques criminelles. Voilà l’improbable parcours de Moonlight Maze.
Sur Space and Naval Warfare Systems Command (Spawar), un site de la marine américaine installé à San Diego en Californie où des codes de marine ultra-confidentiels sont stockés et contrôlés, l’ingénieur Ron Broersma s’est demandé début 1999 pourquoi une commande d’impression simple prenait autant de temps à s’exécuter. Lorsqu’il vérifia la commande à l’aide d’un logiciel de contrôle, il découvrit que le fichier temporaire imprimé était retiré un certain temps de la file d’attente et envoyé à un serveur internet à Moscou, avant d’être renvoyé au serveur Spawar où il était à nouveau stocké avant d’être finalement imprimé.
Nous sommes en pleine cyber-guerre !
A la même époque environ, des scientifiques américains spécialisés en informatique découvraient qu’un serveur informatique militaire situé à San Antonio (Texas) était monitoré depuis plusieurs jours déjà par des pirates qui avaient pénétré le système via un site installé à l’autre bout de la planète. Après enquête, il s’est avéré que des dizaines d’autres installations militaires, entreprises privées dans le domaine militaire, firmes énergétiques et même le Pentagone à Washington avaient été visités. L’intelligence community a alors tiré la sonnette d’alarme et au cours d’une réunion secrète devant une commission d’enquête du Congrès américain, John Harme, adjoint à l’époque du ministre américain de la défense dans l’administration Clinton, déclarait : ” Nous sommes en pleine cyber-guerre ! ”
S’il est aujourd’hui courant de voir des services publics qui tentent de pirater les systèmes informatiques d’autres organismes publics dans le cadre de l’espionnage international, la chose n’était guère fréquente dans les années 1990. D’ailleurs, les failles ont été comblées et les services de la sécurité du FBI ont mené une enquête approfondie pour évaluer les dégâts réels de ces attaques sous le nom de code Moonlight Maze.
Code recyclé
Les attaques s’inscrivirent rapidement dans la mémoire collective de la cybersécurité, mais furent estompées par de nouvelles offensives de plus grande ampleur menées par la criminalité informatique toujours plus nombreuse. Moonlight Maze fut oublié après les multiples opérations de piratage informatique qui firent toujours plus souvent l’actualité, qu’il s’agisse du virus Melissa (1999), le ver Conficker (2008) ou le piratage du Playstation Network (2011). Mais le code informatique utilisé en 1999 dans les attaques Moonlight Maze continua son petit bonhomme de chemin dans les zones sombres de l’Internet. Jusqu’à constituer aujourd’hui encore un danger potentiel pour les systèmes informatiques tournant sous le système d’exploitation Linux. ” Le code ne représente plus un danger pour un grand nombre d’ordinateurs, mais il peut continuer à provoquer des dégâts, affirme Costin Raiu, directeur du Global Research & Analysis Team chez Kaspersky, spécialiste russe de la sécurité internet. De temps à autre, une nouvelle forme de ce virus apparaît. ”
Le code ne représente plus un danger pour un grand nombre d’ordinateurs, mais il peut continuer à provoquer des dégâts
La dernière fois qu’une cyber-attaque a été lancée avec un maliciel partiellement inspiré du code de base de Moonlight Maze remonte même à un an à peine. A Berne (Suisse), des pirates ont alors pénétré les systèmes de l’entreprise de défense russe Ruag afin d’y dérober des informations secrètes, une attaque qualifiée par le ministre suisse de la défense, Guy Parmelin, de ” fait d’espionnage industriel “. Des recherches ont rapidement démontré que les attaques avaient été perpétrées par Turla, une Advanced Persistent Thread d’origine russe avec laquelle des pirates parviennent depuis 2007 déjà à entrer dans les plates-formes informatiques d’organismes publics, ambassades, installations militaires, instituts de recherche et entreprises pharmaceutiques dans plus de 45 pays. La majorité de ces attaques avaient été menées grâce à des exploits dans le système d’exploitation Windows, cible première des pirates Turla. Tandis que pour pénétrer les systèmes Linux, ont découvert récemment Raiu et ses collègues-chercheurs, les pirates utilisaient depuis des années déjà un kit de piratage Penquin Turla spécifique, basé sur le même programme que celui utilisé lors des attaques Moonlight Maze voici un à deux décennies.
Bombe enterrée
Raiu et ses collègues de Kaspersky ont cherché le mois dernier, en étroite collaboration avec les chercheurs en cybersécurité du King’s College de Londres, à vérifier une hypothèse qui avait été émise voici plusieurs années déjà par des spécialistes en sécurité. Et pour la première fois, ils ont découvert un lien clairement établi entre les attaques d’espionnage de la fin des années 1990 et les attaques plus récentes de type Turla, ciblant davantage la cybercriminalité et l’espionnage industriel. La similitude commença par l’utilisation de Loki2, une ancienne porte dérobée utilisée pour entrer dans des systèmes et dont une variante a été utilisée dans des attaques plus récentes. Par la suite, ils ont trouvé de nouvelles similitudes – plus modestes-entre l’ancien et le nouveau programme. ” Le code a été développé pour pénétrer d’anciennes architectures, essentiellement basées sur Unix, mais a été régulièrement adapté cette dernière décennie pour entrer également dans des systèmes Linux “, ajoute Raiu.
Les administrateurs de systèmes sous Linux n’installent pas souvent de logiciel antivirus sur leurs plates-formes
Comment un code de piratage vieux de vingt ans peut-il toujours être efficace de nos jours ? Imaginez une bombe de la Deuxième Guerre mondiale qui serait restée dans le sol : tant qu’elle n’est pas excavée et désactivée, elle reste dangereuse. ” Les administrateurs de systèmes sous Linux n’installent pas souvent de logiciel antivirus sur leurs plates-formes, poursuit Raiu. C’est l’ironie du sort des systèmes Linux : ils ne sont pas affectés par les virus qui menacent depuis des années les machines Windows. Du coup, les responsables de la sécurité ont fini par croire que leurs systèmes étaient invulnérables. Dès lors, des versions plus sophistiquées des attaques Penquin Turla basées sur un code vieux de vingt ans peuvent toujours causer des dégâts. ”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici