Kaspersky Lab

 

Communiqués de Presse

15.10.2012

Kaspersky Lab découvre « miniFlame » : un nouveau programme malveillant conçu pour des opérations de cyberespionnage extrêmement ciblées

Rueil-Malmaison, le 15 octobre 2012 - Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique, annonce aujourd’hui la découverte de miniFlame, un programme malveillant agile, conçu pour voler des données et prendre le contrôle des systèmes infectés durant des opérations de cyberespionnage ciblées.

 miniFlame, également connu sous le nom de SPE, a été détecté par les experts de Kaspersky Lab en juillet 2012 et initialement identifié comme un module de Flame. Cependant, en septembre dernier, l’équipe de recherche de Kaspersky Lab a procédé à une analyse approfondie des serveurs de commande et de contrôle (C&C) de Flame. Cette analyse a révélé que le module miniFlame était un outil interopérable, pouvant fonctionner tel un programme malveillant indépendant ou bien simultanément comme « plug-in » (module additionnel) pour les malwares Flame et Gauss.

 L’analyse de miniFlame a montré l’existence de plusieurs versions créées entre 2010 et 2011, certaines variantes étant encore actives et en circulation. Elle a également mis au jour de nouvelles preuves de la coopération entre les créateurs de Flame et de Gauss, car les deux programmes malveillants peuvent utiliser miniFlame comme plug-in dans le cadre de leurs actions.

 Principaux résultats :

·         miniFlame, alias SPE, repose sur la même plate-forme architecturale que Flame. Il peut fonctionner en tant que programme de cyberespionnage autonome ou bien comme composant interne de Flame et de Gauss.

·         L’outil de cyberespionnage opère via une porte dérobée (« backdoor ») conçue pour voler des données et donner directement accès aux systèmes infectés.

·         Le développement de miniFlame pourrait avoir débuté dès 2007 et s’être poursuivi jusqu’à la fin de 2011. De nombreuses variantes paraissent avoir été créées. A ce jour, Kaspersky Lab en a identifié six, correspondant à deux principales générations : 4.x et 5.x.

·         A la différence de Flame ou de Gauss, responsables d’un grand nombre d’infections, celui imputable à miniFlame est beaucoup plus faible. D’après les données de Kaspersky Lab, il serait limité à 10 ou 20 machines. Le nombre total d’infections au niveau mondial est estimé à 50 ou 60.

·         Le petit nombre d’infections conjugué aux capacités de vol d’informations de miniFlame et à la souplesse de sa conception indique que celui-ci a été utilisé pour des opérations de cyberespionnage extrêmement ciblées et qu’il a très vraisemblablement été déployé dans des machines déjà infectées par Flame ou Gauss.

 

Découverte

La découverte de miniFlame est intervenue au cours de l’analyse approfondie des malwares Flame et Gauss. En juillet 2012, les experts de Kaspersky Lab ont identifié un module supplémentaire de Gauss (nom de code « John ») et trouvé des références à ce même module dans les fichiers de configuration de Flame. L’analyse des serveurs C&C de Flame réalisée par la suite, en septembre 2012, a permis d’établir que le module nouvellement découvert était en fait un programme malveillant distinct, bien qu’il puisse être utilisé comme plug-in aussi bien par Gauss que par Flame. miniFlame se nommait SPE dans le code des serveurs C&C d’origine de Flame.

Kaspersky Lab a découvert six variantes différentes de miniFlame, datant toutes de 2010 ou 2011. Cependant, l’analyse de miniFlame indique que le développement du malware a commencé encore plus tôt, au moins en 2007. Sa capacité à être utilisée comme plug-in par Flame ou par Gauss trahit clairement une collaboration entre les équipes de développement des deux programmes malveillants.

Le lien entre Flame et Stuxnet/Duqu ayant déjà été établi, on peut donc conclure que toutes ces menaces évoluées proviennent de la même fabrique de « cyberarmement ».

 

Fonctionnalités

Le vecteur initial d’infection de miniFlame reste à déterminer. Compte tenu du lien confirmé entre miniFlame, Flame et Gauss, le premier peut être installé sur des machines déjà contaminées par l’un des deux autres. Après son installation, miniFlame opère comme une backdoor »et permet à ceux qui le pilotent d’obtenir un fichier quelconque sur l’ordinateur infecté. Parmi ses autres capacités de vol d’informations figurent la possibilité d’effectuer des copies d’écran pendant que la machine infectée exécute un logiciel spécifique (navigateur Web, application Microsoft Office, Adobe Reader, messagerie instantanée, client FTP, etc.). miniFlame transmet les données volées en établissant une connexion avec son serveur C&C (qui peut lui être propre ou bien « mutualisé » avec Flame). Séparément, à la demande de l’opérateur de l’infrastructure C&C miniFlame, un module supplémentaire de vol de données peut être envoyé à un système infecté, afin de contaminer les périphériques USB et d’y stocker les informations recueillies en l’absence de connexion Internet.

 

Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « miniFlame est un outil d’attaque de haute précision. Il s’agit très probablement d’une arme utilisée dans le cadre de ce qui peut être défini comme la deuxième vague d’une cyberattaque. Dans un premier temps, Flame ou Gauss ont servi à infecter autant de victimes que possible afin de collecter des quantités massives d’informations. Après compilation et examen de ces données, une victime potentiellement intéressante est identifiée et miniFlame s’y installe pour des activités plus poussées de surveillance et de cyberespionnage. La découverte de miniFlame apporte par ailleurs une preuve supplémentaire de la coopération entre les auteurs des programmes malveillants les plus notoires employés pour des opérations de cyberguerre, à savoir Stuxnet, Duqu, Flame et Gauss. »

 

Kaspersky Lab souhaite remercier CERT-Bund/BSI pour le concours aimablement prêté à cette enquête.

 

Pour plus de détails sur miniFlame, consultez ce blog sur le site Securelist.com : http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_et_his_friends

 

Le rapport d’enquête complet concernant miniFlame est accessible via ce lien : http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends

Salle de presse virtuelle Kaspersky Lab

Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu). Destinée à l’ensemble des journalistes européens, celle-ci est spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la recherche d’informations sur l’entreprise et ses produits, de mettre à disposition des chiffres, des contenus éditoriaux, des images, des vidéos et des fichiers audio.

À propos de Kaspersky Lab

Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les particuliers*.

Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur le marché de la sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les particuliers, les PME et les grands comptes.

La société opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de 300 millions d’utilisateurs à travers le monde.

Pour en savoir plus www.kaspersky.com.

Contacts presse :

Agence onechocolate

 

Edouard Fleuriau Chateau/Morgane Rybka

 

edouardfc@onechocolatecomms.fr ; morganer@onechocolatecomms.fr

 

 

Tél. +33 1 41 3 75 16/06

 

 

 

© 2012 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre technique ou éditorial pouvant exister dans ce document.

 

* La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2010. Ce classement a été publié dans le rapport d’IDC Worldwide IT Security Products 2011-2015 Prévisions et parts de marché des fournisseurs 2010 – décembre 2011. Le rapport classe les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2010.

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Kaspersky Lab on the Web

Virus Analyst Blogs