Shady RAT : l'attaque informatique qui dérobe les secrets des gouvernements

McAfee révèle une série d’attaques de vols de données massifs issues de nombreuses organisations gouvernementales et de grandes entreprises dans le monde. Depuis 2006.

Les gouvernements ne sont pas plus à l’abri des attaques informatiques que les entreprises. C’est ce que confirme, encore une fois, un rapport de McAfee qui a mené une enquête de vaste ampleur. L’éditeur de solutions de sécurité a étudié les logs (activité des connexions sur le réseau) depuis juin 2006 et analysé les attaques en direction des entreprises et organisations au cours des 28 derniers mois.

70 gouvernements et multinationales espionnées
Le résultat fait peur. Du gouvernement fédéral Américain, mais aussi canadien, indien, vietnamien et Taiwanais, aux entreprises de communication par satellite en passant par la Sécurité Nationale Américaine (la fameuse NSA), plus de 70 entités ont été espionnées, voire attaquées, en ligne. RSA, Lockheed Martin, Sony ou PBS ne sont que quelques exemples d’entreprises privées qui ont subi des attaques ces derniers mois. Même le comité d’organisation des Jeux olympiques n’a pas été épargné par les pirates pas plus que le comité anti-dopage. Les Nations unies et l’Organisation internationale de l’agriculture font également parti du lot des victimes comme nombre de compagnies d’énergie.

Opération Shady RAT — Les Etats-Unis constitue le principal territoire visé par l'opération Shady RAT.

Si les attaquants se tournent habituellement vers le vol de données bancaires rapidement monétisables, ils s’intéressent également aux informations à caractères confidentiels des grandes entreprises et gouvernement : secrets de sécurité nationaux, codes sources, bugs des bases de données, archives d’emails confidentiels, plans de négociation, contrats légaux, etc., tout y passe. Pour en faire quoi? Mystère. Mais quand les Anonymous ou LulzSec menacent de révéler publiquement le produit de leurs actions, les pirates de l’ombre s’arrangent probablement pour négocier les informations recueillies au plus offrant. Où à les exploiter directement.

Les entreprises qui savent et celles qui ne savent pas
« je suis convaincu que chaque grande entreprise dans tous les secteurs industriels disposant de propriété intellectuelles précieuses et des secrets commerciaux ont été compromise (ou le seront prochainement), sachant qu’une grande majorité des victimes découvrent rarement l’existence de l’intrusion ou son impact, commente Dmitri Alperovitch, vice-président pour la recherche sur les menaces et auteur du rapport. En fait, je divise l’ensemble des firmes du Fortune Global 2000 en deux catégories : celles qui savent qu’elles ont été compromises et celles qui ne le savent pas encore. »

Ces attaques, réunies sous le nom d’«opération Shady RAT» (pour Remote Access Tool que l’on pourrait traduire par «Rat ombragé» probablement en référence aux milieux underground que fréquentent les pirates) par McAfee, n’ont donc rien à envier aux précédentes opérations Aurora (attaque des serveurs de Google et d’une vingtaine d’autres entreprises en provenance de Chine) ou Night Dragon (qui s’en prenait aux firmes d’énergie, notamment gaz et pétrole). Ces dernières n’étant d’ailleurs pas forcément étrangères à la première.

Un seul individu derrière Shady RAT
Dmitri Alperovitch ne nomme personne. Mais il soupçonne que Shady RAT a été mené par un individu (en tout cas un seul groupe). Lequel travaillerait pour un gouvernement? Dmitri Alperovitch ne risque pas à avancer cette hypothèse. Mais, dans la liste des principaux pays victimes, ni la Chine (à l’exception de Hong Kong), ni la Russie, deux territoires régulièrement soupçonnés de soutenir des attaques informatiques, ne sont listés. Pas plus que la France, d’ailleurs.

Lire aussi : John McAfee : retour sur une carrière IT hors norme