Le “Projet Elderwood”… n’est pas de la fiction !

En 2009, certaines organisations et entreprises importantes ont étés victimes d’un groupe d’attaquantsutilisant le cheval de Troie Hydraq (Aurora). Symantec a surveillé les activités de ce groupe sur les 3 dernières années, alors qu’ils ciblaient de manière persistante certaines industries.

Quelques points notables de leur mode opératoire :

  • utilisation d’un grand nombre d’exploits zero-day (8)
  • attaques des fournisseurs de l’organisation visée
  • attaques de type “watering hole” (point d’eau) : infecter les sites supposés êtres visités par les cibles
  • secteurs visés : Défense, industrie, fournisseurs divers, droits de l’homme, ONG, et fournisseurs de services de communication

Les attaquants ré-utilisent systématiquement des éléments d’une infrastructure baptisée “plateforme Elderwood“, mot retrouvé à diverses reprises dans les codes. Cette “plate-forme” leur permet de déployer très rapidement les attaques, soit via du “spear phishing” classique (attaque très ciblée, souvent grâce à un mail piégé) soit des “Watering hole attacks” (attaque au point d’eau) : connaissant les habitudes de la cible, les sites web qu’elle fréquente sont infectés pour ensuite pouvoir prendre le contrôle de la machine visée.

Même si d’autres groupes utilisent des exploits zero-day (comme lors des attaques Sykipot,  Nitro, ou Stuxnet), nous n’en avons jamais vu autant utilisés par les même individus. Le nombre d’exploits zero-day employés (8) démontre un niveau technique particulièrement élevé.

Il est possible que les attaquants aient au accès au code source d’applications très largement déployées, ou qu’ils aient pu procéder à un “reverse-engineering” très complet des applications en question, pour y découvrir ces vulnérabilités. Ces vulnérabilités sont utilisées en fonction des besoins, souvent à la suite les unes des autres, si la révélation d’une zero-day est imminente.

L’échelle de ces attaques en terme de nombre de victimes et de durée sont autre indication des ressources à la disposition de ce groupe. Les victimes ne sont pas confrontées à de petits crimes ou vols, mais bien attaquées dans le but de dérober massivement connaissances et propriété intellectuelle. Les ressources nécessaires à l’identification et l’acquisition d’informations utiles (sans parler de l’analyse elle-même) ne peuvent être fournies que par une organisation criminelle importante, un groupe soutenu par un état, ou un état lui-même.

Tous les détails de l’analyse dans rapport : The Elderwood Project.

Également cette infographie qui en donne un bon résumé :

Elderwood