mardi 18 février 2014

La Russie, cyber repaire de la flibuste?

Un article récent de Michael Gregg, Superior Solutions, paru dans le Huffington Post, s'est voulu assez provocateur sous le titre de Should We Blame Russia for the Target Breach?
Prenant pour point de départ la fraude survenue fin décembre dans le système de paiement de l'enseigne américaine Target (ayant donné accès aux données de quarante millions de cartes bancaires), l'article pointe du doigt les occurrences en matière de cybercriminalité étrangère sur le territoire américain et provenant en grande partie du côté de la Russie. Au fil de la lecture, l'on est en mesure de percevoir une distinction opérée par son rédacteur entre le cyberespionnage d'origine chinoise et la cybercriminalité d'origine russe menaçant les intérêts étatsuniens. Si l'auteur ne met pas formellement en cause le gouvernement russe dans le corps du texte, il lui reproche néanmoins de ne pas être suffisamment actif dans les procédures pénales à engager pour enrayer le phénomène, tout en rappelant que les activités cybercriminelles coûteraient chaque année près de 113 milliards de dollars selon Symantec. Et de conclure que la Russie serait un hébergeur jugé très accomodant pour les pirates.
The Target breach -- possibly the largest hack in U.S. history, affecting over 110 million consumer accounts -- used Russian-made malware to pull it off. That should come as no surprise to anyone. After all, some of the most notorious malware that's targeted U.S. consumers, banks and retailers over the past few years has originated from Russia or former Soviet states: ZeuS, Citadel, SpyEye, CryptoLocker, to name just a few.
A report by the Russian cybercrime intelligence firm Group-IB cited a number of reasons for Russia's failure to thwart the proliferation of this activity inside the country: inadequate laws, weak penalties and legal loopholes for those convicted; a need for more advanced investigative capabilities and better law enforcement training; and improved coordination with other countries. In its defense, Russian authorities did arrest the creator of the BlackHole exploit kit. But they've failed to stop the vast majority of high-profile crimeware rings -- from ZeuS to CryptoLocker.
Russia's failure to act against the cybercrime industry operating within its borders poses an advanced persistent threat to the U.S. economy. Our government officials can no longer ignore the consequences of Russia's inability or unwillingness to act. If we're going to hold China responsible for the cyber-espionage attacks emanating from its IP addresses, isn't it time we confront Russia for harboring the vast majority of the world's cybercrime industry?

Malgré tout, cette vision sombre de pirates russes à l'affût du moindre butin occidental doit être relativisée. Notamment par l'existence sur le propre territoire de la Fédération de Russie d'ingénieurs en informatique hautement qualifiés et oeuvrant dans le domaine de la cybersécurité (plus communément appelés les white hats). Et relayant souvent des informations de première importance comme la récente affaire du troyen sous Android.
Ainsi Dr Web, l'éditeur d'antivirus fondé en 2003 a découvert le premier bootkit braqué sur le système d'exploitation Android. Ce maliciel se logerait dans la mémoire protégée, ou ROM et plus précisément dans le secteur d'amorce. Ce qui fait qu'un effacement du fichier infectieux ne saurait être efficace même avec un formatage en règle puisqu'il aurait la possibilité de se re-dupliquer (au passage si vous trouvez sur votre appareil le fichier Android.Oldboot.1.origin, vous faites partie des malheureux élus).
De façon étonnante, et ce dans une écrasante majorité des cas relevés, ce sont des mobiles utilisés en territoire chinois qui sont les plus largement impactés.  Serait-ce le résultat d'un clonage d'un OS vérolé sur une ligne de production en Chine?
To spread the Trojan, which entered the Dr.Web virus database as Android.Oldboot.1.origin, attackers have used a very unusual technique, namely, placing one of the Trojan components into the boot partition of the file system and modifying the init script which is responsible for the initialisation of OS components.
This malware is particularly dangerous because even if some elements of Android.Oldboot that were installed onto the mobile device after it was turned on are removed successfully, the component imei_chk will still reside in the protected memory area and will re-install the malware after a reboot and, thus, re-infect the system.

Enfin, se focaliser sur les pirates russes, et sans pour autant lénifier leurs compétences, serait omettre qu'il y a aussi tout un monde qui vit autour. En atteste, un exemple parmi tant d'autres : Careto, un virus de cyberespionnage ciblant prioritairement grandes entreprises et gouvernement et qui semblerait avoir opéré depuis 2007 tout en communiquant... en espagnol!
Un expert en cyber sécurité de chez Kaspersky explique « Careto intercepte tous les canaux de communication et recueille les informations les plus essentielles de l'appareil de la victime. Le détecter est extrêmement difficile en raison des capacités de discrétion de ce logiciel furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber-espionnage. ». Le virus Careto espionnait toutes les données à partir des smartphones et des tablettes, les conversations skype, ce que tapait l'utilisateur et les services ou les appareils synchronisés avec ces derniers.
Avec un fort soupçon d'une implication étatique par derrière...

Et puis comme quoi qu'en Russie ne poussent pas que des cybercriminels, La Russie d'Aujourd'hui dévoile la liste de trente créateurs dans le secteur du numérique.

Enfin, pour prendre connaissance de tout ce qui gravite autour du cyberespace russe, n'oubliez pas que l'ouvrage La cyberstratégie russe est disponible chez tout bon libraire, qu'il soit en ligne ou non, et sur le site des éditions Nuvis.


Aucun commentaire: