Espionnage informatique d’État ? Après les malwares Babar, EvilBunny et Casper, Dino est le dernier programme malicieux en date soupçonné d’avoir été conçu par un groupe de pirates informatiques proche des services secrets français. Cette relation a été évoquée à l’origine par les services du renseignement canadien dans un document daté de 2011 et dérobé par Edward Snowden, l’ancien consultant de la NSA à l’origine des fuites sur les écoutes américaines.
Dans ce document médiatisé par Le Monde dès mars 2014, le Centre de la sécurité des télécommunications du Canada (CSEC) – l’unité technique des services secrets canadiens –, pense « avec une certitude modérée » que l’opération d’espionnage découverte en novembre 2009 (Snowglobe) est « soutenue par un État et mis en œuvre par une agence française de renseignement. » Il est notamment question du logiciel espion Babar qui aurait été utilisé pour collecter des données sensibles sur le progamme nucléaire iranien. Depuis, d’autres programmes malicieux créés par le groupe de hackers surnommé Animal Farm ont été découverts, dont le malware EvilBunny et, plus récemment, le spyware Casper qui aurait été utilisé en Syrie.
Après s’être penché sur les similitudes entre ces trois malwares, l’éditeur de solutions de sécurité Eset a publié le 30 juin son analyse concernant Dino, le petit dernier de la série de malwares attribuée aux pirates d’Animal Farm. Déjà repéré par l’éditeur Kaspersky, Dino est présenté comme un programme d’extraction de fichiers à partir d’ordinateurs infectés. Il aurait été utilisé en 2013 en Iran. Alors que Casper pratique la reconnaissance, Dino collecte des informations sensibles.
« Dino peut être décrit comme une backdoor élaborée construite de façon modulaire. Parmi ses innovations techniques se trouvent un système de fichiers personnalisé pour exécuter des commandes en mode furtif et un module complexe d’ordonnancement de tâches fonctionnant d’une manière similaire à la commande cron sous Unix », précise dans un billet de blog Joan Calvet, spécialiste des malwares chez Eset. Dino peut, par exemple, obtenir tous les fichiers en .doc de plus de 10 ko modifiés dans les trois derniers jours.
« Autre fait intéressant, le binaire de Dino contient de nombreux messages d’erreur verbeux, nous permettant d’apprécier le choix des termes utilisés par ses développeurs. Quelques artefacts techniques suggèrent que Dino a été rédigé par des locuteurs de langue maternelle française », précise Calvet. Cependant, un développeur non-francophone peut délibérément induire en erreur les chercheurs.
Lire aussi :
Le fantôme des services secrets français plane sur Casper
IOT, Ransomware, ShellShock, Heartbleed au menu du Clusif en 2014
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.