Equation GroupEquation Group
L'Equation Group (groupe Équation) est le nom attribué à un groupe informatique de cyber-espionnage de haut niveau[1] lié à la National Security Agency (NSA). Cela provient notamment de la proximité avec les vers informatiques Flame et Stuxnet, voire le logiciel malveillant Regin. En raison de la prédilection du groupe pour des méthodes de chiffrement sophistiquées dans leurs opérations, le nom d'Equation Group a été choisi par Kaspersky Lab[1] qui a documenté près de 500 infections de logiciels malveillants par les outils du groupe dans au moins 42 pays. Il s'agirait de « la plus vaste opération de piratage de tous les temps »[2], remontant les premières traces au début des années 2000 et même possiblement à 1996[2]. En août 2016, le groupe de hackers The Shadow Brokers dévoile une série d'outils d'espionnage et de cyberarmes appartenant à l’Equation Group. Vecteurs d'infectionKaspersky Lab a identifié qu'Equation Group exploitait au moins sept failles de sécurité liées à Microsoft Windows, Internet Explorer et Java, dont quatre étaient des vulnérabilités dites « zero-day » (qui ne sont pas corrigées ou connues de l’éditeur au moment de leur utilisation)[3],[4]. L’éditeur russe décrit également l’exploitation d'autres failles inconnues début 2015 - probablement également de type zero-day - dans Mozilla Firefox 17 et le navigateur Tor Browser Bundle[5]. Fanny, le logiciel malveillant développé par l'Equation Group se loge dans le firmware des disques durs et donc résiste à un reformatage du disque ou l'installation d'un nouveau système d'exploitation[2]. Pour infecter leurs victimes, l'Equation Group utilise un arsenal d'« implants » (logiciel malveillant) :
Au-delà des vecteurs classiques, le rapport de Kaspersky relate également un cas spécifique d’infection d’un chercheur via un cédérom reçu à la suite d'une conférence scientifique s’étant déroulée à Houston en 2009[7],[8]. Profils des ciblesPaysEn février 2015, Kasperky Lab indique avoir identifié des victimes dans 42 pays, en Asie, Afrique, Europe (Allemagne, Belgique, France, Grande-Bretagne et Suisse) et Amérique du Sud[4]. Les principaux pays visés seraient l'Iran, la fédération de Russie, le Pakistan, l’Afghanistan, l'Inde, la Chine, la Syrie et le Mali[4]. Secteurs d'activitésEn se basant sur la liste des 500 victimes recensées, Kaspersky Lab indique que les organisations visées appartiennent généralement aux catégories suivantes : « organisations gouvernementales et institutions diplomatiques, entreprises publiques ou privées du secteurs des télécommunications, de l’aérospatiale, de l'énergie, de la recherche nucléaire, du pétrole et gaz, des organisations du secteur militaire, des entreprises spécialisées en nanotechnologie, des militants et activités islamiques, des entreprises du secteur des médias, du transport, des institutions financières ou bien encore des sociétés réalisant de la recherche et développement en cryptographie »[4]. AttributionKaspersky Lab ne cite jamais la National Security Agency (NSA) dans son rapport publié en février, mais indique qu'Equation Group aurait travaillé de manière rapprochée avec les équipes à l'origine de Flame et de Stuxnet. Selon l'expert en sécurité Claudio Guarnieri et plusieurs anciens agents du renseignement américain anonymes, Equation Group serait lié à la NSA[1],[9]. Notes et références
AnnexesArticles connexes
Liens externes
|