[Brève] Sauron espionne Windows depuis 5 ans

Internet

<p>Kaspersky et Symantec ont découvert une plateforme de cyberespionnage polymorphe, nom de code : Sauron ou Strider. Il aurait été créé par un acteur étatique au vu des cibles et de l'actions du ver.<br />
&nbsp;</p>

Les chercheurs du russe Kaspersky et de l'américain Symantec ont publié deux études sur une même menace, une plateforme d'espionnage à grande échelle.

Nommé Sauron par Kaspersky et Strider (pseudo d'Aragorn) par Symantec (à cause de nombreuses références à Tolkien dans le code), la plateforme de cyberespionnage s'attaque à des administrations dans différents pays, Russie et Iran, Belgique et Suède en tête. Il s'installe durablement dans les systèmes d'exploitation Windows utilisés et se déplacent dans les réseaux en restant sous les radars. Le cyberespion est capable d'utiliser des malwares modulaires et s'adapte en fonction de l'environnement du système d'information. Il arrive même à fonctionner uniquement dans la mémoire vive du système et à infecter les clés USB avec une partition cachée afin d'atteindre les serveurs et ordinateurs hors ligne et y collecter les données. Le cyberespion recherche des données sur les systèmes de chiffrement, des identifiants et des documents mais également des frappes de clavier.

Les antivirus, notamment ceux de Symantec (Norton) et de Kaspersky, sont leurrés par les approches furtives et discrètes du cyberespion. Kaspersky a néanmoins pu identifier des traces de Sauron depuis 2011 mais n'a été alerté par un de ses clients qu'en 2015. Symantec n'a découvert le cyberespion qu'en identifiant un des modules, baptisé remsec.

Au vu des cibles et des moyens mis en oeuvre par le cyberespion, les 2 éditeurs en concluent à l'action d'un Etat. Mais quel Etat aurait inventé cette nuisance ? La réponse vaut des milliers de bitcoins.

Commentaires