Inlassablement, les chercheurs en sécurité continuent leurs enquêtes techniques sur l’arsenal d’Animal Farm, ce groupe d’espionnage probablement d’origine française (i.e. la DGSE). Après Babar, Casper et Evilbunny, c’est au tour de Dino de passer sous le scalpel. Le chirurgien de service est Joan Calvet, chercheur en sécurité chez l’éditeur Eset. Il avait déjà procédé en mars dernier à l’autopsie de Casper, un logiciel d’espionnage particulièrement furtif.
Que nous révèlent les entrailles binaires de Dino sur la table d’opération ? Il s’agit d’un malware de type « porte dérobée » qui, une fois installé, permet aux espions d’accéder à distance à la machine infectée et d’exécuter plus d’une vingtaine de commandes : télécharger un module supplémentaire, récupérer la configuration de la machine, exécuter un programme spécifique (batch), etc. En particulier, le malware est doté d’une fonction de recherche de fichiers très complète, permettant aux utilisateurs de fouiller de manière précise dans l’ordinateur cible. C’est pourquoi M. Calvet pense que le but final de Dino était « l’exfiltration de fichiers ».
Un système de fichier en mémoire
Autre spécificité technique : l’utilisation d’un système de fichier caché qui se déploie uniquement en mémoire vive. Ce qui permet de laisser très peu de traces. Baptisé « ramFS », ce système permet de stocker des fichiers de façon chiffrée et, le cas échéant, de les exécuter, de les injecter dans d’autres processus, de les copier sur la machine… RamFS semble être un développement propre au groupe Animal Farm. Il se retrouve également dans d’autres outils de ce groupe d’espionnage, comme le logiciel injecteur (ou « dropper ») NBot. Dans le cas de Dino, ramFS sert au stockage de son programme d’autodestruction.
Outre l’utilisation de ramFS, il y a d’autres éléments techniques trouvés dans le code qui permettent de rattacher Dino au groupe Animal Farm. Par exemple l’utilisation d’une même fonction de hachage, ou le formatage des données de la fonction « sysinfo » qui récupère les informations de configuration de la machine. Enfin, le chercheur en sécurité a mis la main sur de nouveaux indices qui viennent corroborer l’hypothèse de développeur francophones. Ainsi, les auteurs ont utilisé le mot « arithmetique » dans certains chemins de fichiers. Par ailleurs, le langage implémenté par défaut est… le français. Ces seuls éléments ne permettent pas de prouver que Dino est d’origine française, mais c’est un argument de plus pour cette hypothèse.
Un code peu protégé
Enfin, le chercheur souligne une certaine contradiction dans l’attitude des créateurs de Dino. D’un côté, la qualité du code est la preuve d’une réelle expérience et de professionnalisme. D’un autre côté, Joan Calvet s’étonne de ne voir aucune mesure d’obfuscation dans le code, ce qui permettrait de rendre son analyse plus difficile. Au contraire, les auteurs ont produit un malware très intelligible, avec à la clé des commentaires et des messages d’erreurs. Peut-être s’agit-il là d’une erreur de jeunesse. Le malware Casper, qui a été créé plus tardivement, est doté de ce type d’obstacles.
En revanche, les cibles sont peu connues. « Concernant les victimes, nous ne savons que très peu choses, sauf qu’elles étaient localisées en Iran en 2013 », souligne le chercheur dans sa note de blog.
Lire aussi :
Cyberespionnage: bienvenue chez Babar et ses amis malwares d’Animal Farm, le 06/03/2015
Babar et EvilBunny, les logiciels espions (probablement) « made in France », le 18/02/2015
Source :
Note de blog de Joan Calvet
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.