A peine vient-on d’oublier Beast (mais si, voyons… l’exploit SSL 1.0) que la mode des cyber-catastrophes se renouvelle. DuQu avait déjà fait l’objet d’un article sur le blog de Kostya Kortchinsky, c’est au tour de Secureworks d’y aller de sa « foire aux questions sur DuQu » : quels sont ses liens de parenté avec Stuxnet (liens d’inspiration technique doit-on préciser) ?, Quels sont ses constituants et les actions qu’il effectue ?, Comment détecter sa présence sur une machine ?… Rien de très nouveau si l’on a suivi avec attention les écrits et liens de l’Expert de Miami. Reste que, comme à l’accoutumé, l’analyse de Secureworks est un modèle de clarté : DuQu est un keylogger qui, bien que très « inspiré » en termes d’écriture par Stuxnet, ne vise en rien une infrastructure Scada ou industrielle. Tout çà, on le savait depuis longtemps. On nage toujours en plein mystère quant à l’origine de ce malware, mais une chose est certaine, ce n’est pas là de la graine d’APT… pour l’instant. Une modification de la charge utile commandée par le C&C pourrait éventuellement faire évoluer la qualification.
Nitro, en revanche, çà c’est de l’APT pur fruit d’arbre à hackeur, et qui vise directement les « Fortune 100 », nous apprend une étude de Symantec. Nitro serait en fait la énième attaque d’envergure, d’origine probablement Chinoise, visant spécifiquement des entreprises US, Britanniques et Danoises (sic) qui œuvrent dans le secteur de la défense, de la chimie et des industries de pointe. Les machines infectées par ce virus-espion sont essentiellement situées aux USA, en Grande Bretagne… et au Bengladesh, pays possédant d’importants centres de sous-traitance informatique et de nombreuses filiales de sociétés Anglo-saxonnes. Les techniques d’extraction d’informations de Nitro sont relativement classiques et utilisent une variante du célèbre PoisonIvy, et les C&C pilotant le réseau de machines infectées semble pointer vers la Chine.
La Chine nie avec véhémence toute implication dans cette opération, tout comme elle a nié être derrière le piratage des 760 entreprises « p0wnées » en même temps que les serveurs de RSA et dont la liste a été récemment révélée par Brian Krebs.
Ces deux exemples posent une fois de plus la question « qu’est-ce qu’une APT ? » Ces « menaces évoluées et persistantes » ne sont généralement pas aussi évoluées qu’on voudrait bien le dire. Pas plus qu’elles ne sont persistantes, puisqu’elles se succèdent à un rythme plutôt soutenu, laissant supposer un certain caractère éphémère. En revanche, ces APT sont souvent très discrètes (le hack Areva en est la preuve) et peuvent n’être découvertes qu’un an, voire deux après les premières attaques. Une discrétion qui implique souvent une injection du vecteur d’infection très ciblée, presque « sur mesure ». Soit parce que le virus se suicide et efface toute trace de son passage si l’environnement ne correspond pas précisément à ce qu’il recherche, soit parce qu’il a été déposé « à la main ». Et c’est peut-être cette différence entre un vecteur d’infection générique (donc rapidement connu des éditeurs d’antivirus) et une attaque du calibre de Nitro qui caractérise une APT.