Le fantôme des services secrets français plane sur Casper

Après Babar et EvilBunny, Casper ? L’éditeur de sécurité ESET s’est penché sur ces trois logiciels espions auxquels il a trouvé bien des similitudes. Déjà, de G Data à Cyphort, plusieurs experts avaient révélé des similitudes entre Babar et Bunny, deux spywares qui auraient notamment été utilisés dans le cadre d’une campagne d’écoutes électroniques baptisée Snowglobe par les services du renseignement français. Les experts ont notamment été aidés dans leurs recoupements grâce aux documents compilés dès 2009 par le Centre de sécurité des télécommunications du Canada (CSEC) et dévoilés par Edward Snowden avant que les quotidiens Le Monde, dans un premier temps, puis Der Spiegel, ne s’emparent de l’affaire.

Une faille zero day Adobe Flash

Capser, qui tire supposément son nom du personnage de fiction représentant un fantôme aux allures sympathiques, a été utilisé en avril 2014 contre des cibles d’intérêt localisées en Syrie. Il s’appuie sur une faille zero day à l’époque (CVE-2014-0515) du plugin Adobe Flash que le site du ministère syrien de la justice n’avait visiblement pas corrigé. Les internautes qui croyaient consulter des contenus légitimes du site jpic.gov.sy (notamment pour permettre aux Syriens victimes de la guerre d’effectuer des demandes de dédommagements) étaient en fait redirigés vers une page malveillante déclenchant le téléchargement d’un exécutable destiné à réaliser une installation persistante de Casper sur la machine visée. Aux dires d’Eset, Casper est un outil de reconnaissance particulièrement doué pour rester invisible aux yeux des filtres antimalwares sur les machines victimes, rapporte ITespresso.fr.

Outre la façon de rechercher des informations sur les antivirus installées, Casper se rapproche de Babar en matière de discrétion : pour ne pas éveiller les soupçons, il exécute des API sans les appeler explicitement. Les fonctions externes situées dans les bibliothèques dynamiques sont exploitées via un hash communiqué à une fonction interne, laquelle établit la relation entre le hash et l’adresse en mémoire de la fonction externe. Autres éléments de ressemblance avec Babar, Casper utilise la même syntaxe – à quelques caractères près – pour supprimer l’exécutable une fois le malware installé et le recours à un système de séparateurs HTTP basé sur les données renvoyées par l’API GetTickCount.

A quoi sert Casper ?

Reste que Eset ne sait pas trop comment interpréter le rôle de Casper. Si toutes les personnes victimes du malware étaient localisées en Syrie, il est possible que ce ne soient que de simples citoyens syriens visiteurs du site piraté. « Nous sommes incapables de déterminer si c’était effectivement le cas », indique Joan Calvet sur son blog. Le chercheur d’Eset avance alors l’ hypothèse que le site jpic.gov.sy aurait pu servir de système de stockage. Ce qui aurait facilité les accès aux contenus stockés depuis la Syrie (alors que les connexions Internet depuis l’extérieur du pays sont instables depuis le début de la guerre civile) et d’autre part pour minimiser les soupçons en faisant porter la charge d’une volonté éventuelle de piratage des citoyens sur le gouvernement syrien.

Il n’en reste pas moins qu’Eset reste convaincu que Casper, Babar et Bunny ont été développés par le même groupe « qui n’est pas un nouveau venu dans le business de l’espionnage » et qui appartient « à une puissante organisation ». Néanmoins, aucun élément de Casper ne permet à Eset de pointer un pays en particulier, pas plus la France qu’un autre alors que la CSEC lie étroitement l’état français à Babar. A cause du personnage du petit éléphant créé par Jean de Brunhoff en 1931 ?

Lire également
Un malware résistant à un formatage de disque dur : l’œuvre de la NSA ?
Superfish : Lenovo reconnaît avoir préinstallé un logiciel espion
FireEye, Microsoft et consorts identifient un vaste réseau de cyberespionnage chinois

crédit photo © PAISAN HOMHUAN / Shutterstock.com