Les cibles de cette campagne sont essentiellement des pays d’Europe de l’Est, des républiques de l’ex-URSS ou encore des pays du Moyen-Orient. C’est en octobre 2012 que l’équipe d’experts de Kaspersky Lab a entrepris une enquête à la suite d’une série d’attaques contre des réseaux informatiques ciblant des services diplomatiques internationaux. L’enquête a permis de mettre à jour et d’analyser un réseau de cyber-espionnage à grande échelle. Selon le rapport de Kaspersky Lab, l’opération «Red October» qui aurait débutée en 2007 se poursuit encore en janvier 2013.
Red October, rappelons-le, est un réseau évolué de cyber-espionnage : les attaques, actives depuis au moins 2007, se concentrent sur les représentations diplomatiques et les administrations de divers pays à travers le monde, mais aussi sur des organismes de recherche, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l’aéronautique. Leurs auteurs ont conçu un malware spécifique, identifié sous l’appellation «Rocra», qui possède sa propre architecture modulaire comprenant des extensions malveillantes, des modules destinés à dérober des informations et des chevaux de Troie de type «backdoor». Il faut savoir que l’infection de systèmes lors d’une attaque passe par l’envoi aux victimes d’un email ciblé de type «spear phishing» (harponnage) contenant un cheval de Troie personnalisé (dropper).
Les experts de Kaspersky Lab ont appliqué deux méthodes pour analyser les cibles. En premier lieu, ils ont exploité les statistiques de détection du réseau Kaspersky Security Network (KSN), le service cloud de sécurité auquel font appel les produits de Kaspersky Lab afin d’effectuer des mesures à distance et d’offrir une protection évoluée contre les menaces sous la forme de listes noires et de règles heuristiques. KSN a détecté le code malveillant dès 2011, ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à Rocra. Alors que la deuxième méthode mise en œuvre, a consisté à créer un sinkhole (serveur appât) de façon à pouvoir surveiller les connexions des machines infectées aux serveurs C&C de Rocra. Les données reçues pendant l’analyse par l’une et l’autre méthode ont fourni des bases indépendantes de corrélation et de confirmation des résultats.
