Une nouvelle analyse met en lumière une solide organisation derrière Flame(r) et de longs préliminaires.
Une nouvelle analyse met en lumière une solide organisation derrière Flame(r) et de longs préliminaires.
Lorsqu’on découvrit pour la première fois le cheval de Troie Flame ou Flamer, selon les sources, durant la première moitié de cette année, l’on avait déjà établi une comparaison avec l’infâme Stuxnet, qui avait été manifestement développé en tant qu’arme et ce, avec l’aide d’un gouvernement ou de plusieurs autorités. Flame(r) semblait alors encore plus imposant et plus souple et apparaissait plutôt comme une structure permettant de lancer différentes formes d’attaques.
Depuis lors, les experts en sécurité Symantec et Kaspersky, conjointement avec Impact et le CERT-Bund/BSI (la cyber-défense gouvernementale allemande) ont épluché plus en détail quelques serveurs de contrôle (command&control, C&C) de Flame(r). Cet examen soutient la vision, selon laquelle il s’agit d’un ‘produit’ ultrasophistiqué. C’est ainsi que ses auteurs ont accordé beaucoup d’attention à l’effacement et à la dissimulation des activités C&C sur les serveurs contaminés, sauf qu’ils n’ont pas effacé toutes les traces (ce qui a permis l’examen). De plus, il est apparu que la production du malware avait débuté en 2006 déjà et était le résultat d’une collaboration entre quatre développeurs. L’on observa encore que toutes les composantes du maliciel n’étaient pas complètement terminées, alors que l’équipe à l’initiative de Flame(r) avait entretenu des contacts avec les développeurs de Stuxnet.
Une solide organisation Flame(r) est un cheval de Troie qui installe des portes dérobées, en vue de dérober ultérieurement des informations sur les systèmes infectés des utilisateurs finaux. Les systèmes C&C qui collectent des informations, se comportent comme des systèmes de gestion de contenus légaux (CMS), alors que les serveurs infectés sont ‘gérés’ afin d’offrir un espace maximal pour le stockage des informations volées. Sur l’un des serveurs, l’on a découvert dans un backup 5,7 Go de données dérobées.
Ce qui est étonnant, c’est la solide organisation qui se cache derrière Flame(r). Son fonctionnement appartient à trois groupes, qui ont clairement des fonctions strictement séparées. Outre les personnes ‘admin’ qui mettent en oeuvre et gèrent les systèmes, il y a les ‘attact operators’ qui envoient le malware vers les clients contaminés et volent les données. Ces données sont fortement cryptées et ne peuvent être déchiffrées que par les ‘attack coordinators’. Il s’agit là d’une répartition formelle des tâches que l’on ne retrouve pas chez les cyber-malfaiteurs plus ‘classiques’. Les moyens utilisés (comme des faiblesses uniques dans les certificats), la sophistication du malware et l’organisation inhabituelle confirment dès lors la conviction que Flame(r) n’est pas le résultat d’un ou de plusieurs gouvernements et est conçu assurément en tant qu’arme d’espionnage dans la/les cyber-conflit(s) qui ont manifestement tendance à prospérer.
Symantec et Kaspersky Lab fournissent plus d’informations sur leurs sites respectifs.
