Opération Shady RAT : Cyberattaques de grande envergure

Soixante-douze victimes en cinq ans, dont plusieurs agences d’Etat, et des intrusions qui durent plusieurs mois, voire plusieurs années : l’opération de piratage révélée par McAfee est d’une envergure sans précédent.

Baptisée opération Shady RAT (pour Remote Access Tool), il ne s’agit d’après l’éditeur que d’un exemple parmi beaucoup d’autres. Seule différence : habituellement ces opérations ne sont pas rendues publiques, tandis que celle-ci est documentée dans un rapport de 14 pages parfaitement accessible.

Parmi les rangs des victimes de cette opération l’on trouve au moins dix sous-traitants du gouvernement américain, une douzaine d’agences locales et fédérales du gouvernement américain, des industriels de tout type (fabrication de satellites, industrie électronique, travaux publics, énergie, télécommunications…) et même une paire de spécialistes de la sécurité informatique. Plus étonnant, les attaquants ont montré un intérêt particulier pour les Jeux Olympiques : parmi les victimes figurent plusieurs comités Olympiques (en Asie notamment) et l’Agence Mondiale contre le dopage…

Impossible bien entendu de savoir exactement la nature des données dérobées durant toute l’étendue de cette opération. Mais pour McAfee une chose est sûre : il s’agit là d’un pillage en règle. « Ce que nous observons depuis ces six dernières années est un transfert de richesses de proportions historiques. Des secrets d’Etat, des codes sources, des bases de données de vulnérabilités, des archives d’emails, des plans de négociations pour des forages de pétrole et de gaz, des contrats, des configurations SCADA, des plans de construction.. tout a été dérobé à des sociétés occidentales« , explique Dmitri Alperovitch, VP Threat Research chez McAfee dans le rapport.

Toutes ces données ne seront probablement pas exploitées, mais selon McAfee même si une fraction seulement a servi à créer de nouveaux produits, ou à emporter de nouveaux contrats de manière déloyale, les pertes économiques sont significatives.

Qui peut bien être derrière une telle opération ? Un acteur étatique, probablement. Car ces données sont difficilement vendables rapidement et ne correspondent pas à ce qu’un groupe de cyber-criminels volerait spontanément… sauf à être mandaté par un état.

(SECURITY VIBES)