Depuis une vingtaine d’années, la Russie orchestre des opérations de cyberespionnage contre une cinquantaine de pays différents, dont les États-Unis, à l’aide d’un redoutable malware, intitulé Snake. Aux yeux du FBI, il s’agit de « l’outil de cyberespionnage le plus sophistiqué dans l’arsenal » du Service fédéral de sécurité de la fédération de Russie. Le virus est exploité par Turla, une unité des services de renseignement russes dédiée au piratage, en activité depuis 1996, pour mener à bien ses attaques.
À lire aussi : Attention, un redoutable malware s’attaque aux gestionnaires de mots de passe
Plus de 50 pays touchés
Le logiciel malveillant, autrefois connu sous le nom d’Ouroboros, est conçu pour voler des données sensibles sur des ordinateurs à distance. Il est compatible avec Windows, macOS et Linux. Selon les enquêteurs du FBI, son développement remonte à 2003.
Snake a infecté une foule de machines à travers le monde, dont des PC appartenant aux gouvernements membres de l’OTAN, à partir de 2004. À l’aide de ce réseau secret d’ordinateurs tombés sous sa coupe, le virus a exfiltré une montagne de données sensibles, comme des informations d’authentification, au fil des ans. Ces dernières années, Snake s’est notamment fait remarquer en Ukraine. Le virus s’est en effet attaqué à plusieurs reprises aux systèmes informatiques du gouvernement de Kiev, en amont de l’invasion russe.
Le FBI a repéré « l’infrastructure Snake dans plus de 50 pays d’Amérique du Nord, d’Amérique du Sud, d’Europe, d’Afrique, d’Asie et d’Australie, y compris les États-Unis et la Russie elle-même ». Turla visait « des cibles hautement prioritaires, telles que les réseaux gouvernementaux, les centres de recherche et les journalistes », estime l’agence américaine. Des petites entreprises, des médias, des installations gouvernementales et des industries, localisées aux États-Unis, ont également été touchées par le maliciel.
John Hultquist, responsable du renseignement chez Mandiant, une filiale de Google, décrit les attaques menées par Turla comme « des assauts fiables et silencieux ». Les hackers mettaient tout en œuvre pour passer sous le radar. Ils ont néanmoins été repérés par les États-Unis dès les années 2000.
L’autodestruction de Snake
Dès la découverte du virus, le FBI a ouvert une enquête au sujet des activités du malware. Les hackers de Turla, dont la trace a été retrouvée dans une ville de Russie, ont été placés sous surveillance. Après des années d’enquête, le FBI est finalement parvenu à « déchiffrer et décoder les communications de Snake ». Finalement, les forces de l’ordre des États-Unis ont réussi à porter un coup fatal au virus, annonce le ministère de la Justice dans un communiqué. Dans le cadre d’une opération baptisée Méduse, les autorités américaines ont obtenu un accès physique à l’une des machines compromises par les hackers russes.
Ce 8 mai 2023, ils ont déployé un logiciel dédié, appelé Persée, pour provoquer l’autodestruction du malware. Cet outil a été développé par les équipes du FBI sur la base « des informations glanées lors de la surveillance du réseau Snake ». Il a été programmé pour communiquer avec le virus et lui fournir des instructions. Face à Persée, Snake a été obligé de se désactiver. Le virus a effacé des pans essentiels de son infrastructure, sans mettre en danger les ordinateurs infectés ou les données stockées. Cette « opération de haute technologie » a « retourné ce logiciel malveillant russe contre lui-même », explique la ministre adjointe de la justice, Lisa Monaco.
Le FBI informe actuellement tous les propriétaires des ordinateurs touchés afin qu’ils effacent les dernières traces de Snake. D’autres logiciels malveillants, y compris des enregistreurs de frappe, keyloggers, permettant d’espionner tous les mots tapés sur un clavier, doivent être supprimés. Par le biais de Snake, Turla avait en effet l’habitude d’installer une foule de maliciels. Au terme de ce grand nettoyage, Snake est considéré comme hors d’état de nuire. En revanche, les hackers de Turla ne devraient pas tarder à faire leur retour, en s’appuyant sur un « cadre différent », met en garde Frank van Oeveren, en charge du renseignement chez Fox-IT.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Fascinant ! Étant donné que les hackers le code source, ils n’auront qu’à le modifier en s’appuyant sur les actions du FBI pour les contrer, et le malware repartira de plus belle.
Bof, c’est de la com… Dire que le virus est désactivé après 20 ans d’existence n’a aucun intérêt pratique sinon, hormis souligner leur incompétence !
Après, de manière plus opérationnelle, je pense qu’il était plus intéressant d’utiliser et de contrôler Snake dans le dos des hackers plutôt que de le désactiver tout de suite et prendre le risque d’en avoir un nouveau. Le fait qu’ils annoncent avoir désactivé le truc aussi longtemps après signifie sans doute que ce virus n’avait plus aucun intérêt.
20 ans 😀 😀 😀
c’est comme dire que les US Marines viennent de mettre en deroute la cavalerie de Vercingetorix : un symbole d’efficacite