On se souvient de Duqu qui, en 2011, ciblait les données sensibles d'entreprises, ou encore de Stuxnet qui sévissait encore avant. Aujourd'hui, c'est une nouvelle menace, nommée The Mask, qui inquiète les experts en sécurité, même si le principal serveur de commandement est inactif depuis janvier.
C'est dans un rapport de 65 pages (PDF)que l'éditeur Kaspersky lève le voile sur ce malware loin d'être nouveau sur la Toile, puisqu'il sévit depuis 2007. Néanmoins, son existence et ses agissements ne sont connus clairement que depuis janvier 2014, ce qui signifie qu'il a opéré pendant près de 7 ans en toute discrétion, esquivant au passage les bases de données des antivirus.
The Mask, ou Careto - la langue employée par les pirates semble être l'espagnol - est un cheval de Troie qui, une fois installé, ouvre une porte d'accès à de nombreux sous-logiciels modulaires qui exploitent les moindres failles de sécurité de la machine infectée. Dissimulé sur l'ordinateur sous la forme de plugins et de fichiers de configuration, le malware, très fragmenté, est très difficile à détecter et encore plus à supprimer.
Contamination par hameçonnage
L'objectif du logiciel malveillant est de recueillir un maximum d'informations sur le système touché, incluant les clés de chiffrement des documents protégés, les configurations de VPN, les clés SSH et les fichiers RDP, qui permettent de prendre le contrôle d'une machine à distance via le logiciel Microsoft Remote Desktop. Des données sensibles, en particulier en raison des cibles privilégiées par le malware : les grandes entreprises, les institutions gouvernementales, les compagnies pétrolières ou encore les instituts de recherche.
Kaspersky explique par ailleurs que la propagation du malware se fait principalement par le biais d'une campagne d'hameçonnage (ou phishing) poussée. Les emails piégés renvoient vers des sites malveillants infectant rapidement la machine, mais reprenant l'esthétique de sites légitimes, parmi lesquels le Washington Post, YouTube ou encore The Guardian. Seuls les sous-domaines utilisés trahissent la supercherie. Par ailleurs, une fois l'infection de la machine effectuée, l'internaute est rapidement redirigé vers la vraie page du site copié, brouillant ainsi les pistes.
La France clairement visée ?
L'éditeur rapporte que The Mask a été détecté dans 31 pays, et que plus d'un millier d'adresse IP ont été touchées. 53 organisations françaises ont été touchées, ce qui fait de la France le 4 pays le plus concerné derrière le Royaume-Uni (109), le Brésil (137) et le Maroc (384).
Capable de disparaître automatiquement des ordinateurs infectés une fois ses méfaits accomplis, The Mask/Careto est donc une cyber-menace très aboutie, considérée par les experts de Kaspersky comme « l'une des plus avancées à ce jour ». Reste qu'à l'heure actuelle, les principaux serveurs de commande et de contrôle du malware sont hors-ligne. « La campagne a été active de 2007 jusqu'en janvier 2014, mais au cours de notre enquête, les serveurs C&C ont été fermés » souligne l'éditeur. Les pirates ont peut-être compris qu'ils étaient découverts et ont sabordé leurs opérations : une démarche qui n'est d'ailleurs pas sans rappeler celle du malware Flame, qui s'était évaporé des machines infectées en juin 2012, alors que de multiples experts étudiaient son fonctionnement.
L'arrêt des serveurs principaux de The Mask ne sonne cependant pas forcément le glas du malware, qui pourrait réapparaître plus tard sous une forme similaire ou une variante améliorée.