Des années de cyber-espionnage notamment aux Nations Unies et au COI

Operation Shady RAT, telle est l’appellation donnée à l’une des principales opérations de cyber-espionnage jamais effectuées. Pas moins de 72 organisations gouvernementales et entreprises, parmi lesquelles figurent des noms tels que les Nations Unies, le Comité Olympique International et l’Agence Mondiale Antidoping, de 14 pays y ont été impliquées et ce durant les 5 dernières années. Voilà ce qu’a dévoilé Dmitri Alperovitch, vice-president Threat Research auprès de l’entreprise de sécurité McAfee.

Operation Shady RAT, telle est l’appellation donnée à l’une des principales opérations de cyber-espionnage jamais effectuées. Pas moins de 72 organisations gouvernementales et entreprises, parmi lesquelles figurent des noms tels que les Nations Unies, le Comité Olympique International et l’Agence Mondiale Antidoping, de 14 pays y ont été impliquées et ce durant les 5 dernières années. Voilà ce qu’a dévoilé Dmitri Alperovitch, vice-president Threat Research auprès de l’entreprise de sécurité McAfee.

McAfee a réussi à accéder à un serveur ‘Command & Control’ que les cybercriminels utilisaient. Sur base des historiques (logs) sur le serveur, l’entreprise a pu se faire une idée de la durée et de l’importance de l’opération d’espionnage. Depuis la mi-2006, 72 organisations au minimum ont ainsi été espionnées pendant des mois, voire des années. 49 de ces organisations sont américaines et s’avèrent souvent être des services gouvernementaux. Mais les cybercriminels ont également été actifs en Asie (en général dans les pays limitrophes de la Chine, à l’exception de cette dernière) et en Europe (pas en Belgique). La plupart des organisations ou entreprises ne sont pas spécifiquement citées par McAfee.

“Il ne s’agit pas d’une nouvelle attaque, et la grosse majorité des victimes ont depuis longtemps déjà remédié aux infections constatées”, insiste Alperovitch. “Même si l’on peut toujours se poser la question de savoir si la plupart des victimes ont bien pris conscience de la gravité de l’effraction ou si elles ont corrigé le système infecté sans analyser plus avant la perte de données.”

Les agresseurs se sont le plus souvent introduits dans les systèmes en lançant une attaque d’hameçonnage (phishing) ciblée: un mail contaminé est envoyé à quelqu’un à un niveau approprié au sein d’une organisation. Lorsque le mail est ouvert, il active un maliciel (malware) qui ouvre dans le système une porte dérobée par laquelle les cybercriminels peuvent entrer à leur gré.

Politique Alperovitch s’abstient de tout commentaire à propos de l’identité des auteurs possibles et il ne dit mot non plus sur les informations que ceux-ci ont réussi à dérober. Il se déclare cependant très étonné qu’il y ait parmi les victimes des organisations sportives et antidoping, qui ne contiennent que peu d’informations ayant une valeur commerciale. Ce qui surprend aussi, c’est qu’elles aient été piratées juste avant les Jeux Olympiques de Pékin, ce qui pourrait indiquer qu’il y aurait là-dessous un commanditaire national. De même, l’attaque perpétrée contre une organisation occidentale privée qui promeut la démocratie au niveau mondial ou celle lancée contre une cellule de réflexion américaine sur la sécurité tendraient à mettre davantage en exergue des intérêts politiques qu’économiques.

La divulgation d’Operation Shady RAT succède à celle d’Operation Aurora qui avait révélé notamment des attaques réussies chez Google et dans deux douzaines d’autres organisations, et à celle d’Operation Night Dragon impliquant du cyber-espionnage de longue durée de l’industrie pétrolifère et gazière occidentale.