211service.com
Un cyber-espion maladroit traque l'Iran
Au cours des deux dernières années, les gouvernements du Moyen-Orient ont été ciblés par des logiciels d'espionnage sophistiqués, apparemment créés par des chercheurs de classe mondiale que des États-nations inconnus paient pour cibler des données et des infrastructures sensibles. Pourtant, le dernier malware espionnant avec succès les banques, les services gouvernementaux et les entreprises en Iran et dans les pays voisins est presque ridiculement amateur. Les experts pensent que le logiciel, appelé Mahdi, pourrait avoir été créé par des militants. Cette possibilité suggère que les États-Unis et d'autres gouvernements s'inquiétant de leur vulnérabilité à la cyberguerre (voir NSA Boss Wants More Control Over the Net ) peuvent avoir besoin de s'inquiéter plus que les autres nations.
L'une de mes premières réactions a été « Vous plaisantez ? », déclare le chercheur Roel Schouwenberg de la société de sécurité informatique. Kaspersky , faisant référence au malware créé de manière inepte. Mahdi, qui a été nommé par les chercheurs qui ont découvert le programme dans la société de sécurité israélienne Séculert , est gonflé, bogué et écrit à l'aide de techniques suggérant que ses créateurs sont nettement moins talentueux que ceux derrière Stuxnet, Flame ou Gauss, explique Schouwenberg. Ces formes de malware, ciblées sur le Moyen-Orient, ont stupéfié les chercheurs par leur sophistication (voir A Way to Attack Nuclear Plants et The Antivirus Era Is Over ).
Pourtant, le Mahdi a toujours été efficace. Une fois qu'il a infiltré un ordinateur, il renvoie secrètement des données à ses opérateurs : documents, journaux de frappes, enregistrements audio et captures d'écran d'activités telles qu'un utilisateur accédant à une messagerie électronique. Il a réussi à infiltrer des entreprises du secteur financier et des infrastructures critiques, explique Schouwenberg. Les autres cibles comprennent les ministères et les chercheurs et étudiants en génie.
Bien que des outils apparemment soutenus par la nation tels que Stuxnet, Flame et Gauss aient attaqué des cibles similaires, la conception grossière de Mahdi laisse penser qu'aucun gouvernement n'a payé la facture de sa création, a déclaré Aviv Raff, cofondateur de Seculert. Parce que c'est un travail rapide et sale, nous pensons que cela pourrait être le travail de 'hacktivistes', pas d'un groupe directement parrainé par l'État-nation, dit-il.
Prouver cela serait presque impossible, mais Mahdi montre à tout le moins que de nos jours, vous n'avez pas besoin des ressources ou des compétences de James Bond pour participer à l'espionnage de haut niveau. Des groupes hacktivistes tels que Anonymous et LulzSec ont fait la une des journaux l'année dernière en attaquant des sites Web bien connus pour attirer l'attention sur des causes telles que Wikileaks. Le succès de Mahdi suggère que de tels groupes pourraient faire plus que simplement organiser l'équivalent sur Internet de manifestations perturbatrices.
Mahdi se propage via une pièce jointe à un e-mail, qui ouvre une présentation qui demande à l'utilisateur de cliquer sur une série de diapositives et, finalement, d'exécuter un programme intégré dans l'une d'entre elles. En revanche, des logiciels malveillants sophistiqués tels que Flame ou Gauss peuvent infecter une machine sans l'implication directe d'un utilisateur, en utilisant des vulnérabilités logicielles qui prennent des mois à des pirates informatiques qualifiés à découvrir. Flame impliquait également une cryptographie complexe que peu de personnes dans le monde auraient pu créer, dit Schouwenberg, et a fait l'impensable en compromettant le système de mise à jour de Microsoft Windows. Flame était les meilleures personnes au monde, dit-il. Mahdi ne se compare pas vraiment.
Et pourtant, Mahdi continue d'infecter avec succès de nouvelles cibles, alors que Stuxnet, Flame et Gauss ont été désactivés peu de temps après la fermeture des chercheurs en sécurité (voir A Cyber 'Warhead' With an Unknown Target ). Seculert a identifié Mahdi pour la première fois en février et a été rendu public avec Kaspersky le 17 juillet, mais le malware fonctionne toujours et s'améliore. Ils travaillent toujours activement à infecter les machines, dit Raff. Ils ont également essayé d'ajouter des fonctionnalités supplémentaires ainsi que d'échapper à la détection par les fournisseurs d'antivirus.
Schouwenberg dit que Mahdi est passé d'environ un mégaoctet à 10 mégaoctets. Mais même un tel programme, dit-il, peut être efficace lorsque les entreprises et les organisations gouvernementales utilisent de mauvaises pratiques de sécurité et ne parviennent pas à isoler correctement leurs réseaux les plus précieux de ceux utilisés pour des tâches moins critiques.
Même avec la possibilité de suivre le malware au travail, il est peu probable que les véritables origines de Mahdi soient découvertes. Il était à l'origine contrôlé via un serveur en Iran, mais est maintenant exploité à l'aide de plusieurs serveurs au Canada, explique Raff. Ceux-ci sont probablement payés pour avoir utilisé de fausses informations d'identification ou ont été récupérés aux fins de l'attaque. Si des mesures étaient prises contre ceux-ci, les opérateurs de Mahdi créeraient simplement plus ou fondraient et reviendraient avec un nouvel outil, explique Schouwenberg. Il restera donc un mystère de savoir si Mahdi est l'outil des hacktivistes ou d'un État-nation jouant l'idiot.