Les responsables du FBI ont lancé mardi une bombe majeure : après avoir passé des années à surveiller des logiciels malveillants exceptionnellement furtifs que l’une des unités de piratage les plus avancées du Kremlin avait installés sur des centaines d’ordinateurs à travers le monde, les agents ont déchargé une charge utile qui a provoqué la désactivation du logiciel malveillant.

Le contre-piratage visait Snake, le nom d’un vaste logiciel malveillant multiplateforme qui, depuis plus de deux décennies, est utilisé pour l’espionnage et le sabotage. Snake est développé et exploité par Turla, l’un des APT les plus sophistiqués au monde, abréviation de menaces persistantes avancées, un terme désignant les équipes de piratage de longue date parrainées par les États-nations.

Blagues, railleries et dragons mythiques à l’intérieur

Si le piratage parrainé par la nation était du baseball, alors Turla ne serait pas seulement une équipe de la Major League, ce serait un éternel candidat aux séries éliminatoires. Les chercheurs de plusieurs sociétés de sécurité s’accordent à dire que Turla était à l’origine des violations du département américain de la Défense en 2008, et plus récemment du ministère allemand des Affaires étrangères et de l’armée française. Le groupe est également connu pour avoir libéré des logiciels malveillants Linux furtifs et utilisé des liaisons Internet par satellite pour maintenir la discrétion de ses opérations.

L’un des outils les plus puissants de l’arsenal de Turla est Snake, une sorte de couteau suisse numérique qui fonctionne sous Windows, macOS et Linux. Écrit dans le langage de programmation C, Snake se présente sous la forme d’une série de pièces hautement modulaires construites au-dessus d’un énorme réseau peer-to-peer qui relie secrètement un ordinateur infecté à un autre. Snake, a déclaré le FBI, s’est à ce jour propagé dans plus de 50 pays et a infecté des ordinateurs appartenant à des gouvernements membres de l’OTAN, un journaliste américain qui a couvert la Russie et des secteurs impliquant des infrastructures critiques, des communications et de l’éducation.

Une courte liste de fonctionnalités de Snake comprend une porte dérobée qui permet à Turla d’installer ou de désinstaller des logiciels malveillants sur des ordinateurs infectés, d’envoyer des commandes et d’exfiltrer des données présentant un intérêt pour le Kremlin. Logiciel conçu par des professionnels, Snake utilise plusieurs couches de commandes de chiffrement personnalisées et de données exfiltrées. Sur le réseau P2P, les commandes et les données cryptées voyagent à travers une chaîne de points de saut composée d’autres machines infectées d’une manière qui rend difficile la détection ou le suivi de l’activité.

Les origines de Snake remontent au moins à 2003, avec la création d’un précurseur appelé « Uroburos », une variante d’ouroboros, qui est un ancien symbole représentant un serpent ou un dragon se mordant la queue. Une image basse résolution du philosophe et théologien allemand Jakob Böhme, qui apparaît ci-dessous, a servi à un moment donné de clé à une porte dérobée redondante que Turla installerait sur certains terminaux piratés.

Le nom Uroburos a perduré dans les premières versions du logiciel malveillant, même après qu’il ait été renommé Snake, par exemple dans la chaîne « Ur0bUr()sGoTyOu# ». En 2014, la chaîne a été remplacée par « gLASs D1cK ». D’autres chaînes font allusion à des blagues internes, aux intérêts personnels des développeurs et aux railleries adressées aux chercheurs en sécurité qui analysent ou contrent leur code.