Equation Group

L'Equation Group (groupe Équation) est le nom attribué à un groupe informatique de cyber-espionnage de haut niveau[1] lié à la National Security Agency (NSA). Cela provient notamment de la proximité avec les vers informatiques Flame et Stuxnet, voire le logiciel malveillant Regin.

En raison de la prédilection du groupe pour des méthodes de chiffrement sophistiquées dans leurs opérations, le nom d'Equation Group a été choisi par Kaspersky Lab[1] qui a documenté près de 500 infections de logiciels malveillants par les outils du groupe dans au moins 42 pays. Il s'agirait de « la plus vaste opération de piratage de tous les temps »[2], remontant les premières traces au début des années 2000 et même possiblement à 1996[2].

En août 2016, le groupe de hackers The Shadow Brokers dévoile une série d'outils d'espionnage et de cyberarmes appartenant à l’Equation Group.

Vecteurs d'infection

Kaspersky Lab a identifié qu'Equation Group exploitait au moins sept failles de sécurité liées à Microsoft Windows, Internet Explorer et Java, dont quatre étaient des vulnérabilités dites « zero-day » (qui ne sont pas corrigées ou connues de l’éditeur au moment de leur utilisation)[3],[4]. L’éditeur russe décrit également l’exploitation d'autres failles inconnues début 2015 - probablement également de type zero-day - dans Mozilla Firefox 17 et le navigateur Tor Browser Bundle[5].

Fanny, le logiciel malveillant développé par l'Equation Group se loge dans le firmware des disques durs et donc résiste à un reformatage du disque ou l'installation d'un nouveau système d'exploitation[2].

Pour infecter leurs victimes, l'Equation Group utilise un arsenal d'« implants » (logiciel malveillant) :

  • EquationLaser (2001-2004) est un implant de première génération[6];
  • EquationDrug (2003-2013) est une plate-forme d'attaque très complexe qui prend en charge un système modulaire de plugins[6];
  • DoubleFantasy (2004-2011) est un cheval de Troie conçu pour confirmer que la cible atteinte est la bonne. Si tel est le cas, le trojan est alors remplacé par une plate-forme plus complète comme EquationDrug ou GrayFish[6];
  • TripleFantasy (2012-2014) est une porte dérobée qui semble être une version plus évoluée de DoubleFantasy[6];
  • Fanny (2008-2010) est un ver informatique utilisé pour dérober des informations. Il utilise deux vulnérabilités dites « zero-day » qui ont été découvertes ultérieurement avec Stuxnet[6];
  • GrayFish (2008-2014) est la plate-forme d'attaque la plus sophistiquée d'Equation Group, qui réside entièrement dans la base de registre de windows[6].

Au-delà des vecteurs classiques, le rapport de Kaspersky relate également un cas spécifique d’infection d’un chercheur via un cédérom reçu à la suite d'une conférence scientifique s’étant déroulée à Houston en 2009[7],[8].

Profils des cibles

Pays

En février 2015, Kasperky Lab indique avoir identifié des victimes dans 42 pays, en Asie, Afrique, Europe (Allemagne, Belgique, France, Grande-Bretagne et Suisse) et Amérique du Sud[4]. Les principaux pays visés seraient l'Iran, la fédération de Russie, le Pakistan, l’Afghanistan, l'Inde, la Chine, la Syrie et le Mali[4].

Secteurs d'activités

En se basant sur la liste des 500 victimes recensées, Kaspersky Lab indique que les organisations visées appartiennent généralement aux catégories suivantes : « organisations gouvernementales et institutions diplomatiques, entreprises publiques ou privées du secteurs des télécommunications, de l’aérospatiale, de l'énergie, de la recherche nucléaire, du pétrole et gaz, des organisations du secteur militaire, des entreprises spécialisées en nanotechnologie, des militants et activités islamiques, des entreprises du secteur des médias, du transport, des institutions financières ou bien encore des sociétés réalisant de la recherche et développement en cryptographie »[4].

Attribution

Kaspersky Lab ne cite jamais la National Security Agency (NSA) dans son rapport publié en février, mais indique qu'Equation Group aurait travaillé de manière rapprochée avec les équipes à l'origine de Flame et de Stuxnet. Selon l'expert en sécurité Claudio Guarnieri et plusieurs anciens agents du renseignement américain anonymes, Equation Group serait lié à la NSA[1],[9].

Notes et références

  1. a b et c Damien Leloup et Martin Untersinger, « Le groupe Equation, la bonne vieille boîte à outils de la NSA », Le Monde,‎ (lire en ligne)
  2. a b et c « Cyberespionnage - Equation : la plus vaste opération de piratage de tous les temps », Le point,‎ (lire en ligne)
  3. Marc Zaffagni,, « Equation Group, les maîtres du cyberespionnage », Futura sciences,‎ (lire en ligne)
  4. a b c et d (en) « Equation Group: Questions and Answers » [PDF], — Rapport de Kaspersky Lab, Version 1.5
  5. Gilbert Kallenborn, « La NSA est capable de reprogrammer n’importe quel disque dur », 01Net,‎ (lire en ligne)
  6. a b c d e et f (en) « Equation Group: The Crown Creator of Cyber-Espionage », Kaspersky Lab,‎ (lire en ligne)
  7. Louis Adam, « 'Fanny', disques durs espions : Kaspersky déterre les vieux jouets de la NSA... », ZDNet,‎ (lire en ligne, consulté le )
  8. (en) Dan Goodin, « How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last - "Equation Group" ran the most advanced hacking operation ever uncovered. », ArsTechnica,‎ (lire en ligne, consulté le )
  9. (en) Joseph Menn, « Russian researchers expose breakthrough U.S. spying program », Reuters,‎ (lire en ligne)

Annexes

Sur les autres projets Wikimedia :

Articles connexes

Liens externes