APT épisode II : Le Rat Véreux

Petite devinette : Qu’est-ce que les gouvernements des États-Unis, du Canada, de la Corée du Sud, l’ONU, l’Agence Mondiale Antidopage et le Comité International Olympique ont en commun ?

Réponse : Ils font partie des victimes d’une APT révélée au début du mois d’août par McAfee, et baptisée « Operation Shady RAT » (même si la traduction en « Opération Rat Véreux » est tentante, le RAT en question est un « remote access tool », autrement dit un outil d’accès à distance).

McAfee a pu analyser cette attaque grâce aux logs récupérés sur un serveur « centre de contrôle » connecté à des machines infectées.

Les victimes sont extrêmement diverses : agences gouvernementales, entreprises du secteur technologique et de la défense, ONG et groupes de réflexion

Quelques chiffres :

  • Shady RAT a opéré pendant au moins 5 ans ;
  • Il y a eu 72 victimes avérées : ce nombre a varié au cours des années, avec un pic de 38 victimes en 2009 ;
  • 9 entités ont été infiltrées pendant moins d’un mois ;
  • 1 entité a été infiltrée pendant 28 mois.

Le mode d’infiltration n’a rien de bien original : un e-mail de phishing ciblé contenant un exploit est envoyé à une personne placée au bon endroit dans l’entité. Si le système n’est pas protégé, cet exploit lance le téléchargement d’un logiciel malveillant qui installe une porte dérobée qui lui permet de communiquer avec son centre de contrôle.

Les intrus prennent ensuite la main sur le système, s’attribuent les droits nécessaires et propagent leur logiciel malveillant afin de mettre la main sur les données qu’ils recherchent. Dernière étape : faire sortir ces captures de guerre du SI infiltré.

Les intrus, me direz-vous, mais qui sont-ils ? McAfee ne donne pas de noms, mais se borne à remarquer qu’au vu des victimes, il s’agit probablement d’un acteur étatique asiatique, qui se serait entre autres intéressé aux JO vers 2008.

Et ceci ne concerne qu’une seule attaque…
Sachant que la majorité des entités qui ont pu identifier qu’elles ont été victimes d’une APT ne communiquent pas à ce sujet et qu’il est possible de ne pas se rendre compte qu’une APT est en cours sur son système, McAfee estime à plusieurs pétaoctets (un pétaoctet = 1 million de gigaoctets) la quantité de données qui ont été volées de cette manière.

Pour en savoir plus : Le rapport publié par McAfee