Poseidon, les cyberespions luttaient dans l'ombre depuis 15 ans

Le jour où ils sonneront à votre porte, il sera déjà trop tard: votre belle entreprise aura été piratée de fond en comble et vous n’aurez que vos yeux pour pleurer. Bienvenue dans l’univers discret mais sans vergogne de Poseidon, un groupe de pirates que viennent de révéler les chercheurs de l’éditeur Kaspersky, à l’occasion de la conférence Security Analyst Summit 2016.

Ici, pas question de perdre du temps avec des petits poissons. Seules les grandes entreprises, si possible cotées, sont prises pour cible: pétroliers, médias, électriciens, services, etc. Le but: obtenir des informations stratégiques et financières confidentielles.

Une fois ces données récupérées, le groupe Poseidon va se rémunérer soit en les vendant à des investisseurs ou compétiteurs peu scrupuleux, soit en contactant la victime pour lui proposer… des services de sécurité! Une pratique mafieuse connue, mais bien ficelée. "C’est présenté de manière à ce qu’il n’y ait pas de recours juridique possible. Ils ont de bons avocats", souligne Dmitry Bestuzhev, directeur recherche et analyse chez Kaspersky.

Au fil de son enquête, Kaspersky a détecté plus d’une trentaine de victimes dont au moins une en France, "un grande groupe international" précise le chercheur en sécurité, sans plus de précisions.

Pour pénétrer l’infrastructure, ce groupe utilise une technique classique: un e-mail avec un document Word piégé, envoyé de manière très ciblée. "Ils envoient un seul mail à un destinataire dont ils connaissent tout", ajoute-t-il. Ensuite, c’est du grand art. Les pirates élaborent des stratégies complexes pour pouvoir se déplacer au sein de l’infrastructure informatique de l'entreprise, sans alerter qui que ce soit.

Dans certains cas, ils s’attaquent même aux communications satellite internet dans le domaine maritime. "Techniquement, l’affaire reste encore assez floue, mais ils ont réussi à intercepter des connexions pour siphonner des données échangées par des navires. L’un de leurs serveurs de commande et contrôle flotte quelque part sur un bateau", explique le directeur.

En réalité, ce groupe est tellement discret qu’il a réussi à opérer depuis plus de dix ans sans jamais se faire pister. "Le logiciel malveillant le plus ancien qu’ils aient réalisé remonte à 2001. C’est incroyable de savoir qu’il existait déjà à cette époque un groupe de pirates aussi sophistiqué", souligne M. Bestuzhev. Comment ont-ils fait? Ils prennent le soin de supprimer leurs outils au fur et à mesure, dès qu’ils n’en ont plus besoin. Par ailleurs, ils ont modifient régulièrement leurs logiciels, ce qui empêchait de faire le lien entre les différentes versions.

Un autre aspect original est qu’il s’agit d’un groupe de pirates anglo-brésiliens. "Les éléments de langage trouvés montrent que le brésilien ou l’anglais sont leurs langues maternelles. Certaines expressions ne se trouvent même qu'au nord du Brésil. Beaucoup d’éléments techniques sont par ailleurs liés au Brésil", poursuit le directeur. Selon lui, c’est la première fois qu’un groupe de pirates brésiliens soit impliqué dans des attaques ciblées de ce calibre.