Kaspersky et Symantec ont découvert un nouveau type de malware baptisé Sauron et dont la première attaque remonterait à 2011.
La société de sécurité informatique Symantec a rapporté l’activité d’un groupe de hackers surnommé « Strider » qui déploie des actions de cyberespionnage contre des cibles en Belgique, Chine, Suède et Russie.
La société de sécurité américaine avertit que le groupe est actif depuis octobre 2011 et est peut-être en contact direct avec une agence nationale de renseignements. Symantec identifie l’un des principaux outils de Strider comme étant Remsec (Backdoor.Remsec), qui est un exemple complexe de logiciel malveillant caché.
Contrairement aux malwares qui s’emparent d’une machine individuelle, Remsec circule à travers les réseaux d’organisations, donnant aux pirates un contrôle total sur les machines qu’il infecte. Certaines de ses capacités malveillantes sont le vol de fichiers et de données ainsi que la capacité à enregistrer les frappes sur le clavier.
Selon les chercheurs, le code source de Remsec contient des références à Sauron, un personnage de fiction issu du légendaire de la Terre du Milieu (Le Seigneur des Anneaux). Symantec a décidé de nommer le groupe « Strider, » un nom appartenant à un autre personnage important dans les livres de J.R.R. Tolkien.
Avec le nombre élevé de rapports sur de nouveaux types d’attaques dans le domaine du cyberespionnage, on pourrait penser que Remsec est juste une autre faille de sécurité. Cependant, Orla Fox, directeur de Symantec chargé de la sécurité cybernétique, souligne que la découverte d’une catégorie spéciale de logiciels espions tels que Remsec n’est pas banale. La raison derrière cela est que les sociétés spécialisées dans la cybersécurité découvrent seulement un ou deux de ces malwares par an.
Parmi les victimes identifiées de Strider, il y a quatre organisations et des personnalités russes, une compagnie aérienne chinoise, une organisation suédoise et une ambassade en Belgique. Symantec n’a pas révélé le pays auquel l’ambassade appartient.
« Sur la base des capacités d’espionnage de son malware et la nature de ses cibles connues, il est possible que le groupe soit soutenu par un Etat », note Symantec.
La société a refusé de révéler le gouvernement ou les gouvernements qui pourraient être liés aux actions de Strider.
Pendant ce temps, la firme de sécurité informatique Kaspersky Lab a également confirmé l’existence du logiciel espion. Kaspersky affirme qu’il envisage de publier plus de détails sur ses conclusions à une date ultérieure.
Chose intéressante, Remsec semble avoir puisé ses forces dans un autre malware du même calibre, Flamer ou Flame, un morceau de code qui a été utilisé dans des opérations de cyberespionnage ces dernières années.
Les experts en informatique ont tracé une connexion entre le malware Flamer et Stuxnet, un ver informatique découvert en 2010 conçu par la NSA en collaboration avec une unité de renseignement de l’Armée de défense d’Israël. Les chercheurs en sécurité affirment que Stuxnet a été déployé par les Etats-Unis et Israël contre le programme nucléaire de l’Iran au cours de la dernière décennie.
