«Opération Octobre rouge»: des cyberespions ont attaqué la France, la Russie, et 67 autres pays

Capture d'écran via Kaspersky

Une large opération de cyberespionnage très bien organisée cible des diplomates, des gouvernements et des centres de recherche depuis cinq ans, et vient d'être découverte par des chercheurs en sécurité en Russie. Baptisée «Octobre rouge» par le fabriquant d'anti-virus Kaspersky, la campagne semble avoir principalement visé des victimes en Europe de l'Est et en Asie centrale, et être toujours active.

En plus des attaques traditionnelles sur des ordinateurs de bureau, le système est capable de voler des données sur des smartphones, des clés USB (y compris des documents effacés de ces clés via un procédé de récupération créé par les pirates), des bases de données d'email, et de serveurs FTP locaux, détaille Kaspersky. Un des modules du système permet aux attaquants d'infecter à nouveau une machine si un autre de leurs modules est détecté et détruit par un antivirus.

Au total, note Wired, 69 pays ont été touchés, y compris les Etats-Unis, l'Australie, l'Irlande, la Suisse, le Brésil, le Japon, les Emirats Arabes Unis, ou la France.

Cliquez ici pour agrandir l'image

On voit sur cette carte de Kaspersky que des structures militaires et diplomatiques ont été touchées en France, et des structures militaires, diplomatiques, nucléaires et de recherche en Russie par exemple. Mais le laboratoire d'anti-virus a décompté moins de cinq infections en France, contre 35 en Russie.

Les pirates semblent être de langue maternelle russe, parce que «dans les modules, ils utilisent plusieurs mots d'argot russe», explique à Wired Costin Raiu, de Kaspersky. «Des gens dont la première langue n'est pas le Russe ne connaissent généralement pas ces mots

Mais Costin Raiu note que tous les indices pointant vers la Russie pourraient être de fausses pistes lancées par les criminels pour égarer les enquêteurs. Il estime également que l'attaque ne vient pas d'un Etat mais plutôt de cybercriminels ou d'espions freelance qui chercheraient à vendre des informations de valeur à des gouvernements ou d'autres acteurs sur le marché noir. 

Le but principal de l'opération paraît être de récolter des informations classifiées et des renseignements géopolitiques dans les outils de centaines de victimes haut-placées (le laboratoire d'anti-virus n'a pas précisé plus avant les cibles), à travers ce qu'on appelle du «spearphishing», ou hameçonnage ciblé.

Autrement dit, le maliciel utilisé par les cyber-criminels est très modulable et customisable pour chaque victime (contrairement au phishing classique où le même message est envoyé à un grand nombre de personnes). Les pirates semblent chercher à récolter une large variété de documents, note Wired, dont des fichiers PDF, Excel, et des fichiers dont l'extension est .acid: des documents passés par un programme de cryptage développé par l'armée française.

Kaspersky a découvert l'opération quand quelqu'un a demandé au laboratoire de se pencher sur une campagne de spearphishing et ses fichiers malicieux, mais ne précise pas qui était à l'origine de cette demande.