Cyberespionnage : Kaspersky Lab identifie l opération «Red October»

Kaspersky Lab publie aujourd’hui une nouvelle étude identifiant une campagne de cyberespionnage visant des représentations diplomatiques, des administrations et des organismes de recherche scientifique dans plusieurs pays depuis au moins cinq ans.
Les attaques ont pour principal objectif de collecter, au sein des organisations touchées, des documents confidentiels renfermant des renseignements géopolitiques, des codes d’accès à des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des équipements réseau.
En octobre 2012, l’équipe d’experts de Kaspersky Lab a entrepris une enquête à la suite d’une série d’attaques contre des réseaux informatiques ciblant des services diplomatiques internationaux. Selon le rapport de Kaspersky Lab, l’opération «Red October» (ou, en abrégé «Rocra») qui aurait débuté en 2007 se poursuit encore en janvier 2013. Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays. L’analyse par Kaspersky Lab de l’infrastructure de commande et de contrôle (C&C) de Rocra révèle que la chaîne de serveurs opère telle une série de proxies afin de masquer l’adresse réelle du serveur principal.
Les informations dérobées sur les systèmes infectés se trouvent dans des documents présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particulier, les extensions «acid*» paraissent correspondre à des fichiers du logiciel cryptographique «Acid Cryptofiler», utilisé par plusieurs entités allant de l’Union européenne à l’Otan.