Casper : Les services secrets français et le cyber-espionnage.

Dans une présentation datant de 2009 et révélée par Le Monde en mars 2014,  une information que l’on apprend alors grâce à Edward Snowden; la Communications Security Establishment Canada (CSEC) découvre et soupçonne les services secrets Français et plus précisément la DGSE  avec un degrés de certitude modéré d’avoir développé et déployé des outils de cyber-espionnage, une opération apparemment Française du nom de « Snowglobe ».

 

 

babar, spyware, malwareBabar, ce gentil éléphant grassouillet issu de la célèbre série animé Française donne son nom à un malware.

 

 

Un chercheur de la société Allemande G Data du nom de  Paul Rascagnères se partageant le travail entre autres avec Joan Calvet d’Eset Security et Marion Marschalek de Cyphort analysèrent alors Babar, dévoilant l’action de ce dernier sur les machines infectées qui de façon brève permettait de récupérer les conversations audios et vidéos. Peu de temps après ils découvrirent alors un lien de parenté avec un autre malware qui se nomme lui Evil Bunny, dont l’apparition date de très peu de temps à celle de Babar après comparaison des dates de compilation de ces derniers. Celui-ci s’installait depuis une faille de sécurité datant de 2011 ciblant les fichiers PDF.
D’après l’analyse des échantillons trouvés sur le site Virustotal.com, beaucoup de similitudes lie ces deux logiciels d’espionnage.

« Comme tout éléphant, Babar a des grandes oreilles, et le virus est capable d’écouter les conversations »

Déclare la société G Data, qui de part cette métaphore se rapproche très clairement de la réalité.

Un article de Paul Rascagnères met à disposition le fichier de configuration de ce malware qui contiendrait donc la liste des programmes et extensions de fichiers sur lesquelles celui-ci agirait:

excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe
txt, rtf, xls, xlsx, ppt, ppts, doc, docx, pdf, vsd
skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe

 

Les principales cibles étant:

  •  Les gouvernements
  •  Les organisations militaires
  •  Les mouvements humanitaires
  •  Les sociétés privées
  •  Les médias et groupes activistes

 

Babar aurait principalement été déployé en Iran pour espionner le programme nucléaire de Téhéran.
Récemment la société ESET a analysé 3 échantillons, dont celui de Babar, Evil Bunny et d’un petit nouveau nommé Casper qui vient compléter la famille de l’«Animal Farm».

animalfarm, kaspersky

 

 

 

 

 

 

 

 

 

 

Casper est un outil de reconnaissance et non une plateforme d’espionnage, comparé à Babar, Evil Bunny ou Dino.

Casper, à la différence de ces deux prédécesseurs consistait à agir tel un mouchard, utilisant une ancienne faille CVE-2014-0515 d’Adobe Flash Player sur le site  jpic.gov.sy rattaché au ministère syrien de la Justice, qui aurait été piraté en Avril 2014 et qui depuis, dès la visite d’un internaute le rediriger sur une page malveillante, téléchargeant et installant ainsi  furtivement ce malware sur les machines des visiteurs.
Ce malware étant déployable directement depuis la mémoire sous le nom d’une libraire nommé Casper_DLL.dll mais aussi sous un exécutable baptisé domcommon.exe et de son fichier de configuration XML, que l’on peut voir ci-dessous, chiffré en RC4, un algorithme de cryptage.

casper, xml, rc4, decrypt, paul, g data
Dès lors ce petit fantôme collectait des informations tels que l’antivirus, le pare-feu, le navigateur par défaut et le système d’exploitation installé chez l’hôte et qui comme la photo l’indique ci-dessus appliquant une « STRATEGY » selon le type d’Antivirus installé, dont ici 4 d’entre-deux qui sont probablement les plus utilisés au sein de ce pays qui est la Syrie.
Nous pouvons ici un exemple de rapport envoyé de Casper au centre de contrôle et de commande (rf : C&C).

casper_rapport_cc

 

 

 

 

 

 

 

 

Mais alors que ESET découvre Casper, dès le lendemain Costin Raiu, chercheur chez Kaspersky, dévoile l’existence de Dino qui de la même manière que EvilBunny et Babar sert d’outil d’espionnage.
Ce chercheur nous apprend aussi l’existence de Tafacalou, un outil de reconnaissance dans le même principe mais plus ancien que Casper, signifiant en occitane « ça va chauffer », un orthographe apparemment originaire de la région du Languedoc.

Cet outil de reconnaissance aurait été trouvé sur plus de 450 ordinateurs situés majoritairement en Syrie, en Iran et en Malaisie.

tafacalou_rapport_victims_stats_kaspersky

 

 

 

 

 

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *