Norman Shark, fournisseur leadeur mondial de solutions d’analyse malware pour entreprises, fournisseurs de services et gouvernements, a communiqué à Datasecuritybreach.fr un rapport détaillant l’infrastructure d’une vaste cyber-attaque sophistiquée qui serait originaire d’Inde. Les attaques, menées par des pirates privés depuis 3 ans, ne semblent pas avoir l’appui d’un État, mais le but principal du réseau C2 (Commande/Contrôle) mondial aurait été de cibler à la fois la sécurité nationale et les entreprises du secteur privé.
« Les données que nous avons indiquent que ces attaques ont été menées par un groupe d’attaqueurs basés en Inde, avec plusieurs développeurs ayant pour tâche de livrer des malwares spécifiques. » commente à datasecuritybreach.fr Snorre Fagerland, chef des recherches dans les laboratoires de Norman Shark à Oslo en Norvège. « Ce groupe semble avoir les ressources et les relations nécessaires en Inde permettant aux attaques d’être surveillées de n’importe où dans le monde. La grande diversité des secteurs touchés est toutefois très surprenante : il s’agit des secteurs des ressources naturelles, des télécommunications, de la restauration mais aussi des secteurs alimentaire, juridique, et industriel. Il est vraiment peu probable que cette organisation fasse de l’espionnage industriel pour son propre usage uniquement, ce qui est vraiment inquiétant. »
L’enquête a présenté des preuves de pratiques professionnelles au niveau de la gestion de projet, utilisées pour concevoir des systèmes, des modules et des sous-composants. Il semblerait que les auteurs des attaques malware aient assigné certaines tâches et certains composants à des programmeurs freelances. « Il n’y avait encore jamais eu de preuves de ce genre d’attaques » ajoute à data security beach magazine M.Fagerland.
Les autorités nationales et internationales enquêtent toujours sur cette découverte. La découverte de cette affaire a débuté le 17 mars lorsque les journaux norvégiens ont publié des articles sur Telenor, un des plus gros opérateurs téléphoniques au monde, faisant partie du top 500 mondial, et considéré comme l’une des entreprises de télécommunications leader en Norvège. Cette entreprise a porté plainte pour avoir été victime d’une intrusion informatique illégale. La source de cette infection proviendrait d’emails phishing ciblant la haute direction de l’entreprise.
Grâce à la structure et au type de comportement des fichiers malware, les analystes en sécurité de Norman Shark ont pu rechercher des cas similaires dans des bases de données internes et publiques, en utilisant les systèmes d’analyse automatique du Malware Analyzer G2 de Norman. Le nombre de malwares trouvé par les analystes de Norman et de ses partenaires était étonnamment grand. Il était donc évident que l’attaque de Telenor n’était pas isolée : elle fait partie d’un effort continu cherchant à mettre en danger les entreprises et les gouvernements du monde entier.
D’après les analyses des adresses IP collectées sur les banques de données criminelles découvertes pendant l’enquête, les victimes ciblées par ces attaques seraient répertoriées dans plus de 12 pays différents. Les cibles précises de ces attaques sont les gouvernements, les organisations militaires et les entreprises. C’est grâce à une analyse détaillée des adresses IP, des enregistrements de nom de domaine, et des identifiants texte contenus au sein même des codes malveillants que les malwares ont pu être attribués.
Malgré la récente attention médiatique portée sur l’exploitation de failles de type zero day , qui utilisent les toutes dernières méthodes d’attaques, Operation Hangover semble avoir exploité les failles déjà connues et identifiées dans Java, les documents Word et les navigateurs internet. « Ces dernières années, ce type d’activité était avant tout associé à la Chine, mais à notre connaissance, c’est la première fois qu’une activité de cyber-espionnage est originaire d’Inde », conclut à datasecuritybreach.fr M.Fagerland.