« miniFlame » : un nouveau programme malveillant de cyberespionnage extrêmement ciblé

Par :
Kaspersky Lab

mar, 16/10/2012 - 10:43

Kaspersky Lab annonce la découverte de miniFlame, un programme malveillant agile, conçu pour voler des données et prendre le contrôle des systèmes infectés durant des opérations de cyberespionnage ciblées.

miniFlame, également connu sous le nom de SPE, a été détecté par les experts de Kaspersky Lab en juillet 2012 et initialement identifié comme un module de Flame. Cependant, en septembre dernier, l’équipe de recherche de Kaspersky Lab a procédé à une analyse approfondie des serveurs de commande et de contrôle (C&C) de Flame. Cette analyse a révélé que le module miniFlame était un outil interopérable, pouvant fonctionner tel un programme malveillant indépendant ou bien simultanément comme « plug-in » (module additionnel) pour les malwares Flame et Gauss.

L’analyse de miniFlame a montré l’existence de plusieurs versions créées entre 2010 et 2011, certaines variantes étant encore actives et en circulation. Elle a également mis au jour de nouvelles preuves de la coopération entre les créateurs de Flame et de Gauss, car les deux programmes malveillants peuvent utiliser miniFlame comme plug-in dans le cadre de leurs actions.

Principaux résultats :

  • miniFlame, alias SPE, repose sur la même plate-forme architecturale que Flame. Il peut fonctionner en tant que programme de cyberespionnage autonome ou bien comme composant interne de Flame et de Gauss.
  • L’outil de cyberespionnage opère via une porte dérobée (« backdoor ») conçue pour voler des données et donner directement accès aux systèmes infectés.
  • Le développement de miniFlame pourrait avoir débuté dès 2007 et s’être poursuivi jusqu’à la fin de 2011. De nombreuses variantes paraissent avoir été créées. A ce jour, Kaspersky Lab en a identifié six, correspondant à deux principales générations : 4.x et 5.x.
  • A la différence de Flame ou de Gauss, responsables d’un grand nombre d’infections, celui imputable à miniFlame est beaucoup plus faible. D’après les données de Kaspersky Lab, il serait limité à 10 ou 20 machines. Le nombre total d’infections au niveau mondial est estimé à 50 ou 60.
  • Le petit nombre d’infections conjugué aux capacités de vol d’informations de miniFlame et à la souplesse de sa conception indique que celui-ci a été utilisé pour des opérations de cyberespionnage extrêmement ciblées et qu’il a très vraisemblablement été déployé dans des machines déjà infectées par Flame ou Gauss.

Découverte

La découverte de miniFlame est intervenue au cours de l’analyse approfondie des malwares Flame et Gauss. En juillet 2012, les experts de Kaspersky Lab ont identifié un module supplémentaire de Gauss (nom de code « John ») et trouvé des références à ce même module dans les fichiers de configuration de Flame. L’analyse des serveurs C&C de Flame réalisée par la suite, en septembre 2012, a permis d’établir que le module nouvellement découvert était en fait un programme malveillant distinct, bien qu’il puisse être utilisé comme plug-in aussi bien par Gauss que par Flame. miniFlame se nommait SPE dans le code des serveurs C&C d’origine de Flame.

Kaspersky Lab a découvert six variantes différentes de miniFlame, datant toutes de 2010 ou 2011. Cependant, l’analyse de miniFlame indique que le développement du malware a commencé encore plus tôt, au moins en 2007. Sa capacité à être utilisée comme plug-in par Flame ou par Gauss trahit clairement une collaboration entre les équipes de développement des deux programmes malveillants.

Le lien entre Flame et Stuxnet/Duqu ayant déjà été établi, on peut donc conclure que toutes ces menaces évoluées proviennent de la même fabrique de « cyberarmement ».

Fonctionnalités

Le vecteur initial d’infection de miniFlame reste à déterminer. Compte tenu du lien confirmé entre miniFlame, Flame et Gauss, le premier peut être installé sur des machines déjà contaminées par l’un des deux autres. Après son installation, miniFlame opère comme une backdoor »et permet à ceux qui le pilotent d’obtenir un fichier quelconque sur l’ordinateur infecté. Parmi ses autres capacités de vol d’informations figurent la possibilité d’effectuer des copies d’écran pendant que la machine infectée exécute un logiciel spécifique (navigateur Web, application Microsoft Office, Adobe Reader, messagerie instantanée, client FTP, etc.). miniFlame transmet les données volées en établissant une connexion avec son serveur C&C (qui peut lui être propre ou bien « mutualisé » avec Flame). Séparément, à la demande de l’opérateur de l’infrastructure C&C miniFlame, un module supplémentaire de vol de données peut être envoyé à un système infecté, afin de contaminer les périphériques USB et d’y stocker les informations recueillies en l’absence de connexion Internet.

Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « miniFlame est un outil d’attaque de haute précision. Il s’agit très probablement d’une arme utilisée dans le cadre de ce qui peut être défini comme la deuxième vague d’une cyberattaque. Dans un premier temps, Flame ou Gauss ont servi à infecter autant de victimes que possible afin de collecter des quantités massives d’informations. Après compilation et examen de ces données, une victime potentiellement intéressante est identifiée et miniFlame s’y installe pour des activités plus poussées de surveillance et de cyberespionnage. La découverte de miniFlame apporte par ailleurs une preuve supplémentaire de la coopération entre les auteurs des programmes malveillants les plus notoires employés pour des opérations de cyberguerre, à savoir Stuxnet, Duqu, Flame et Gauss. »

Kaspersky Lab souhaite remercier CERT-Bund/BSI pour le concours aimablement prêté à cette enquête.

Pour plus de détails sur miniFlame, consultez ce blog sur le site Securelist.com : http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_et_his_friends

Le rapport d’enquête complet concernant miniFlame est accessible via ce lien : http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends

Kaspersky Lab

A propos de l'auteur

Kaspersky Lab