De Babar à Casper : des logiciels espions au service de la France ?

RégulationsRisquesSécuritéSurveillanceVirus
babar-evilbunny-casper

ESET est parvenu à établir une correspondance entre les logiciels espions Babar et Casper, qui pourraient tous deux servir les intérêts du renseignement français.

Casper entretient-il des liens de parenté avec Babar et EvilBunny ? C’est la question que pose ESET après avoir analysé des échantillons de chacun de ces trois logiciels espions.

Les recherches de l’éditeur slovaque – spécialisé dans les solutions de sécurité informatique – s’inscrivent dans la lignée des travaux de son homologue allemand G-Data, qui était parvenu, voici quelques semaines, à faire le rapprochement entre Babar et EvilBunny… vraisemblablement exploités par le renseignement français dans le cadre d’une opération baptisée Snowglobe.

Cette campagne d’écoutes électroniques avait été passée au crible dès 2011 par les équipes du Centre de sécurité des télécommunications du Canada (CSEC). Leurs conclusions avaient été compilées dans un document gardé secret… jusqu’à ce qu’Edward Snowden le récupère et le communique à la presse.

Le journal français Le Monde avait relayé l’information il y a un an, mais en dévoilant seulement une partie du rapport. C’est le quotidien allemand Der Spiegel qui a publié le document dans son intégralité en janvier dernier. Cette décision a facilité le travail des experts en sécurité IT, qui ont pu établir des correspondances entre Babar et EvilBunny.

Dans la continuité de ces révélations, Joan Calvet, chercheur chez ESET, explique avoir réuni suffisamment d’indices laissant suggérer qu’il existe « probablement » un lien avec Casper.

Destination Syrie

Ce spyware, dont le nom est inspiré d’un personnage de fiction prenant la forme d’un gentil fantôme, a été utilisé en avril 2014 contre des cibles d’intérêt localisées en Syrie. Il est conçu pour exploiter la faille CVE-2014-0515, non connue du public à l’époque et résidant dans le plugin Adobe Flash.

Les créateurs de Casper se sont appuyés sur cette vulnérabilité pour pirater le site Web accessible à l’adresse jpic.gov.sy et rattaché au ministère syrien de la Justice. Les internautes qui croyaient consulter des contenus légitimes étaient en fait redirigés vers une page malveillante déclenchant le téléchargement d’un exécutable destiné à réaliser une installation persistante de Casper sur la machine visée.

Non sans relever que le malware était également déployable directement en mémoire sous la forme d’une bibliothèque (Casper_DLL.dll), ESET concentre son propos sur l’exécutable, baptisé domcommon.exe et lié à un fichier de configuration XML chiffré avec l’algorithme RC4.

Dans ce fichier se trouve une balise <STRATEGY> qui définit le comportement de Casper en fonction des défenses installées sur la machine. Le listage des solutions antivirus s’effectue via l’outil WMI (Windows Management Instrumentation), avec la commande « SELECT * FROM AntivirusProduct ».

Si la valeur dans le champ « displayName » est listée dans le fichier de configuration (quatre antivirus sont concernés ; il s’agit sans doute des plus répandus en Syrie), le comportement de l’exécutable, puis du logiciel espion est optimisé. Aussi bien en termes d’interaction avec le registre Windows que de connexion au serveur de commande et de contrôle (C&C) ou de suppression de données.

L’agilité de Casper

Une fois cette étape finalisée, Casper s’installe, sur les systèmes 32 ou 64 bits. Sa persistance est assurée via une clé de registre ou une tâche planifiée à partir de Windows 7.

L’exécution est elle aussi basée sur un fichier XML, daté du 7 avril 2014. Une balise <PARAM> définit des éléments comme l’adresse du serveur C&C, la fréquences des connexions à ce serveur et la clé à utiliser pour chiffrer les données. L’identifiant unique de la machine est ensuite ajouté au fichier XML, chiffré puis stocké dans le registre Windows.

A la première communication avec le serveur C&C, Casper envoie des informations sur le système (architecture microprocesseur, OS, navigateur par défaut, etc.), inscrites en parallèle dans un fichier temporaire perfaudio.bat. Un cookie contenant diverses informations additionnées du caractère « R » y est adjoint.

Les connexions ultérieures s’effectuent avec un cookie similaire implémentant toutefois la lettre « G ». Le serveur C&C peut alors envoyer des commandes cachées dans les métadonnées de fichiers PNG (images).

Outre la façon de rechercher des informations sur les antivirus installées, Casper se rapproche de Babar en matière de discrétion : pour ne pas éveiller les soupçons, il exécute des API sans les appeler explicitement. Les fonctions externes situées dans les bibliothèques dynamiques sont exploitées via un hash communiqué à une fonction interne, laquelle établit la relation entre le hash et l’adresse en mémoire de la fonction externe.

Autres éléments de ressemblance : la même syntaxe – à quelques caractères près – pour supprimer l’exécutable une fois le malware installé et le recours à un système de séparateurs HTTP basé sur les données renvoyées par l’API GetTickCount.

ESET note également une « progression logique » des identifiants attribués aux différentes souches virales : 08184 pour un échantillon de Babar découvert en 2009, 12075-1 pour une version plus récente… et 13001 pour Casper.

Crédit illustration : mekCar – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur