Dino, l’autre spyware des services secrets français ?

Après Babar, EvilBunny et Casper, Dino est le dernier malware en date soupçonné d’avoir été développé par des hackers proches des services de renseignement français.

Espionnage informatique d’État ? Après les malwares Babar, EvilBunny et Casper, Dino est le dernier programme malicieux en date soupçonné d’avoir été conçu par un groupe de pirates informatiques proche des services secrets français. Cette relation a été évoquée à l’origine par les services du renseignement canadien dans un document daté de 2011 et dérobé par Edward Snowden, l’ancien consultant de la NSA à l’origine des fuites sur les écoutes américaines.

Les malwares de « la ferme des animaux »

Dans ce document médiatisé par Le Monde dès mars 2014, le Centre de la sécurité des télécommunications du Canada (CSEC) – l’unité technique des services secrets canadiens –, pense « avec une certitude modérée » que l’opération d’espionnage découverte en novembre 2009 (Snowglobe) est « soutenue par un État et mis en œuvre par une agence française de renseignement. » Il est notamment question du logiciel espion Babar qui aurait été utilisé pour collecter des données sensibles sur le progamme nucléaire iranien. Depuis, d’autres programmes malicieux créés par le groupe de hackers surnommé Animal Farm ont été découverts, dont le malware EvilBunny et, plus récemment, le spyware Casper qui aurait été utilisé en Syrie.

L’exfiltration de fichiers pour Dino

Après s’être penché sur les similitudes entre ces trois malwares, l’éditeur de solutions de sécurité Eset a publié le 30 juin son analyse concernant Dino, le petit dernier de la série de malwares attribuée aux pirates d’Animal Farm. Déjà repéré par l’éditeur Kaspersky, Dino est présenté comme un programme d’extraction de fichiers à partir d’ordinateurs infectés. Il aurait été utilisé en 2013 en Iran. Alors que Casper pratique la reconnaissance, Dino collecte des informations sensibles.

« Dino peut être décrit comme une backdoor élaborée construite de façon modulaire. Parmi ses innovations techniques se trouvent un système de fichiers personnalisé pour exécuter des commandes en mode furtif et un module complexe d’ordonnancement de tâches fonctionnant d’une manière similaire à la commande cron sous Unix », précise dans un billet de blog Joan Calvet, spécialiste des malwares chez Eset. Dino peut, par exemple, obtenir tous les fichiers en .doc de plus de 10 ko modifiés dans les trois derniers jours.

Le français, langue maternelle des hackers ?

« Autre fait intéressant, le binaire de Dino contient de nombreux messages d’erreur verbeux, nous permettant d’apprécier le choix des termes utilisés par ses développeurs. Quelques artefacts techniques suggèrent que Dino a été rédigé par des locuteurs de langue maternelle française », précise Calvet. Cependant, un développeur non-francophone peut délibérément induire en erreur les chercheurs.

Lire aussi :
Le fantôme des services secrets français plane sur Casper
IOT, Ransomware, ShellShock, Heartbleed au menu du Clusif en 2014

crédit photo © Carlos Amarillo – Shutterstock