Accueil🇫🇷Chercher

Equation Group

L'Equation Group (groupe Équation) est le nom attribué à un groupe informatique de cyber-espionnage de haut niveau[1] lié à la National Security Agency (NSA). Cela provient notamment de la proximité avec les vers informatiques Flame et Stuxnet, voire le logiciel malveillant Regin.

Equation Group
Organisation
Affiliation

En raison de la prĂ©dilection du groupe pour des mĂ©thodes de chiffrement sophistiquĂ©es dans leurs opĂ©rations, le nom d'Equation Group a Ă©tĂ© choisi par Kaspersky Lab[1] qui a documentĂ© près de 500 infections de logiciels malveillants par les outils du groupe dans au moins 42 pays. Il s'agirait de « la plus vaste opĂ©ration de piratage de tous les temps »[2], remontant les premières traces au dĂ©but des annĂ©es 2000 et mĂŞme possiblement Ă  1996[2].

En août 2016, le groupe de hackers The Shadow Brokers dévoile une série d'outils d'espionnage et de cyberarmes appartenant à l’Equation Group.

Vecteurs d'infection

Kaspersky Lab a identifiĂ© qu'Equation Group exploitait au moins sept failles de sĂ©curitĂ© liĂ©es Ă  Microsoft Windows, Internet Explorer et Java, dont quatre Ă©taient des vulnĂ©rabilitĂ©s dites « zero-day Â» (qui ne sont pas corrigĂ©es ou connues de l’éditeur au moment de leur utilisation)[3] - [4]. L’éditeur russe dĂ©crit Ă©galement l’exploitation d'autres failles inconnues dĂ©but 2015 - probablement Ă©galement de type zero-day - dans Mozilla Firefox 17 et le navigateur Tor Browser Bundle[5].

Fanny, le logiciel malveillant développé par l'Equation Group se loge dans le firmware des disques durs et donc résiste à un reformatage du disque ou l'installation d'un nouveau système d'exploitation[2].

Pour infecter leurs victimes, l'Equation Group utilise un arsenal d'« implants » (logiciel malveillant) :

  • EquationLaser (2001-2004) est un implant de première gĂ©nĂ©ration[6];
  • EquationDrug (2003-2013) est une plate-forme d'attaque très complexe qui prend en charge un système modulaire de plugins[6];
  • DoubleFantasy (2004-2011) est un cheval de Troie conçu pour confirmer que la cible atteinte est la bonne. Si tel est le cas, le trojan est alors remplacĂ© par une plate-forme plus complète comme EquationDrug ou GrayFish[6];
  • TripleFantasy (2012-2014) est une porte dĂ©robĂ©e qui semble ĂŞtre une version plus Ă©voluĂ©e de DoubleFantasy[6];
  • Fanny (2008-2010) est un ver informatique utilisĂ© pour dĂ©rober des informations. Il utilise deux vulnĂ©rabilitĂ©s dites « zero-day Â» qui ont Ă©tĂ© dĂ©couvertes ultĂ©rieurement avec Stuxnet[6];
  • GrayFish (2008-2014) est la plate-forme d'attaque la plus sophistiquĂ©e d'Equation Group, qui rĂ©side entièrement dans la base de registre de windows[6].

Au-delà des vecteurs classiques, le rapport de Kaspersky relate également un cas spécifique d’infection d’un chercheur via un cédérom reçu à la suite d'une conférence scientifique s’étant déroulée à Houston en 2009[7] - [8].

Profils des cibles

Pays

En fĂ©vrier 2015, Kasperky Lab indique avoir identifiĂ© des victimes dans 42 pays, en Asie, Afrique, Europe (Allemagne, Belgique, France, Grande-Bretagne et Suisse) et AmĂ©rique du Sud[4]. Les principaux pays visĂ©s seraient l'Iran, la fĂ©dĂ©ration de Russie, le Pakistan, l’Afghanistan, l'Inde, la Chine, la Syrie et le Mali[4].

Secteurs d'activités

En se basant sur la liste des 500 victimes recensĂ©es, Kaspersky Lab indique que les organisations visĂ©es appartiennent gĂ©nĂ©ralement aux catĂ©gories suivantes : « organisations gouvernementales et institutions diplomatiques, entreprises publiques ou privĂ©es du secteurs des tĂ©lĂ©communications, de l’aĂ©rospatiale, de l'Ă©nergie, de la recherche nuclĂ©aire, du pĂ©trole et gaz, des organisations du secteur militaire, des entreprises spĂ©cialisĂ©es en nanotechnologie, des militants et activitĂ©s islamiques, des entreprises du secteur des mĂ©dias, du transport, des institutions financières ou bien encore des sociĂ©tĂ©s rĂ©alisant de la recherche et dĂ©veloppement en cryptographie »[4].

Attribution

Kaspersky Lab ne cite jamais la National Security Agency (NSA) dans son rapport publié en février, mais indique qu'Equation Group aurait travaillé de manière rapprochée avec les équipes à l'origine de Flame et de Stuxnet. Selon l'expert en sécurité Claudio Guarnieri et plusieurs anciens agents du renseignement américain anonymes, Equation Group serait lié à la NSA[1] - [9].

Notes et références

  1. Damien Leloup et Martin Untersinger, « Le groupe Equation, la bonne vieille boîte à outils de la NSA », Le Monde,‎ (lire en ligne)
  2. « Cyberespionnage - Equation : la plus vaste opération de piratage de tous les temps », Le point,‎ (lire en ligne)
  3. Marc Zaffagni,, « Equation Group, les maîtres du cyberespionnage », Futura sciences,‎ (lire en ligne)
  4. (en) « Equation Group: Questions and Answers » [PDF], — Rapport de Kaspersky Lab, Version 1.5
  5. Gilbert Kallenborn, « La NSA est capable de reprogrammer n’importe quel disque dur », 01Net,‎ (lire en ligne)
  6. (en) « Equation Group: The Crown Creator of Cyber-Espionage », Kaspersky Lab,‎ (lire en ligne)
  7. Louis Adam, « 'Fanny', disques durs espions : Kaspersky déterre les vieux jouets de la NSA... », ZDNet,‎ (lire en ligne, consulté le )
  8. (en) Dan Goodin, « How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last - "Equation Group" ran the most advanced hacking operation ever uncovered. », ArsTechnica,‎ (lire en ligne, consulté le )
  9. (en) Joseph Menn, « Russian researchers expose breakthrough U.S. spying program », Reuters,‎ (lire en ligne)

Annexes

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.