Kaspersky Lab a découvert récemment un nouveau malware qui opérait depuis cinq ans dans la clandestinité. Sauron, c’est son nom, se serait attaqué durant cette période à une trentaine d’organisations scientifiques, militaires et gouvernementales, mais également à plusieurs entreprises. Il aurait d’ailleurs occasionné pas mal de dégâts.
Le rapport complet se trouve à cette adresse et il tient sur une vingtaine de pages environ. Ce n’est pas énorme mais le document passe en revue la nature et le fonctionnement du malware, ainsi que ses divers effets.
Et autant le dire tout de suite, Sauron n’est clairement pas un tendre.
Sauron a surtout visé la Russie, l’Iran et le Rwanda
D’après les experts de Kaspersky Lab, Sauron aurait surtout opéré en Russie, en Iran et au Rwanda. L’Europe n’aurait pas été très touchée, pas plus que les Etats-Unis ou l’Asie. Enfin, ce n’est pas tout à fait exact car le programme aurait tout de même été repéré dans une ambassade en Belgique et dans l’infrastructure d’une compagnie aérienne chinoise.
En poussant plus loin leurs investigations, les chercheurs responsables de la découverte se sont rendus compte que Sauron avait été développé par un groupe de hackers du nom de Strider.
Intéressant, mais ce n’est pas le plus surprenant car Sauron servait visiblement à l’espionnage électronique et il se basait sur Remsec, un cheval de Troie assez connu dans le milieu. Le tout avec de nombreuses optimisations derrière histoire de le rendre plus efficace et, surtout, plus discret. Il faut croire que ces dernières se sont révélées payantes puisque le programme a mis cinq ans avant d’être détecté.
Sauron a opéré pendant 5 ans sans être détecté
Durant tout ce temps, il est resté sous les radars des experts en sécurité, certes, mais également des outils de détection développés par les éditeurs d’antivirus.
Le rapport nous apprend aussi que le malware est équipé d’un module de persistance capable d’outrepasser les systèmes de sécurité mis en place par les organisations attaquées. Il suffisait ainsi qu’un utilisateur ou qu’un administrateur change son mot de passe pour que le malware le récupère et l’envoie aux hackers de Strider.
Pire, le programme était même capable d’opter pour plusieurs schémas différents afin de tromper les systèmes de sécurité mis en place par les entreprises et les organisations.
Bon et pourquoi Sauron, alors ? Tout simplement parce que son code source contient de nombreuses références à la célèbre créature de Tolkien.
huuuuuuuuuuuuuu