Skip to content
Cyber Breaches
Recherche
EspionnageRésolu

Maliciel d'espionnage bancaire Gauss visant les banques libanaises

Gauss, une boîte à outils de cybersurveillance étatique apparentée à Flame et Stuxnet, a infecté plus de 2 500 systèmes — surtout au Liban — et fut le premier maliciel commandité par un État connu publiquement, conçu pour dérober les identifiants de banque en ligne de banques libanaises précises.

Partie de la campagneflame stuxnet equation toolchain
Victime
Banques libanaises (Bank of Beirut, Byblos Bank, Fransabank, BlomBank, Credit Libanais) et leurs clients
utilisateurs
2.5K
SecteurFinance
PaysLiban
GroupeActeur étatique (« usine » Flame/Stuxnet, largement attribuée aux États-Unis/Israël)
Attaquants nommésÉtat-nation non attribué (Kaspersky a relié l'outillage à Flame)

Le 9 août 2012, Kaspersky Lab a révélé Gauss, une boîte à outils de cyberespionnage modulaire qu'il avait mise au jour en enquêtant sur le maliciel Flame pour le compte de l'Union internationale des télécommunications. Gauss se distinguait avant tout par un point : il s'agissait du premier cheval de Troie bancaire connu publiquement commandité par un État, et ses modules de vol d'identifiants étaient réglés spécifiquement sur les plateformes de banque en ligne utilisées par des banques libanaises.

Ce qui s'est passé

Kaspersky a estimé que Gauss avait été produit par la même plateforme de développement que Flame, lui-même étroitement apparenté à Stuxnet et Duqu — une chaîne d'outils largement attribuée par les chercheurs et la presse à un effort de renseignement américano-israélien. Gauss était modulaire, avec des composants nommés d'après des mathématiciens et des scientifiques (Gauss, Lagrange, Gödel, Tailler, Kurt), et se propageait via des clés USB et d'autres vecteurs tout en collectant de nombreuses données système, réseau et navigateur.

Sa caractéristique déterminante était un ensemble de routines codées en dur destinées à intercepter les identifiants d'institutions financières précises : Bank of Beirut, Byblos Bank, Fransabank, BlomBank et Credit Libanais, aux côtés de Citibank et PayPal. Cela rendait Gauss unique parmi les maliciels étatiques de l'époque, qui s'étaient concentrés sur le sabotage industriel (Stuxnet) ou l'espionnage pur (Flame). La boîte à outils installait également une police personnalisée, Palida Narrow, dont la présence sur un système devint une simple signature de détection.

Impact

  • Plus de 2 500 systèmes infectés ont été enregistrés dans la télémétrie de Kaspersky, dont plus de 1 600 au Liban — bien davantage qu'en Israël et dans les territoires palestiniens, les zones suivantes les plus touchées.
  • Les banques libanaises ciblées et leurs clients ont été exposés au vol d'identifiants de banque en ligne, de cookies, de mots de passe de navigateur et de configurations de comptes.
  • Gauss transportait une charge USB chiffrée (« Gödel ») dont la clé de déchiffrement était dérivée des propriétés d'un système cible précis. Malgré un effort public de sollicitation, la charge n'a jamais été cassée, laissant son objectif final inconnu.

Attribution

Kaspersky s'est abstenu de nommer un commanditaire mais a affirmé sans détour que Gauss provenait de la même « usine » que celle ayant construit Flame, sous-entendant un État-nation bien doté. Les reportages ultérieurs ont systématiquement situé Gauss dans la lignée américano-israélienne « Olympic Games »/Equation des opérations ayant produit Stuxnet, Flame et Duqu. Aucun gouvernement n'a reconnu en être responsable.

Pourquoi c'est important

Gauss a effacé la frontière entre collecte de renseignement et surveillance du système financier. En concevant une plateforme d'espionnage de niveau étatique pour surveiller les flux d'argent à travers des banques libanaises nommément désignées — des établissements depuis longtemps associés à l'intermédiation financière régionale — il a montré comment les cyberopérations pouvaient viser à suivre les transactions et les réseaux de financement plutôt que simplement voler des secrets ou causer des dommages. Il demeure l'exemple canonique d'un État militarisant les techniques de cheval de Troie bancaire, et la charge Gödel non déchiffrée reste l'une des énigmes non résolues les plus célèbres de la recherche sur les maliciels.

Chronologie

  1. Gauss aurait été développé et déployé, bâti sur la même plateforme que celle ayant produit le maliciel d'espionnage Flame.

  2. Kaspersky Lab découvre Gauss en enquêtant sur Flame à la demande de l'UIT ; les premiers échantillons apparaissent dans sa télémétrie.

  3. L'analyse confirme que Gauss contient des modules codés en dur pour intercepter les identifiants de banques libanaises précises ainsi que de Citibank et PayPal.

  4. Kaspersky divulgue publiquement Gauss, le décrivant comme le premier cheval de Troie bancaire connu commandité par un État, avec la majorité des infections au Liban.

  5. Kaspersky publie « Gauss : Abnormal Distribution » et sollicite l'aide du public pour casser la charge USB chiffrée « Gödel », qui ne sera jamais déchiffrée.

Sources

  1. securelist.comhttps://securelist.com/gauss-nation-state-cyber-surveillance-meets-banking-trojan-54/33854/
  2. securelist.comhttps://securelist.com/gauss-abnormal-distribution/36620/
  3. npr.orghttps://www.npr.org/2012/08/10/158589973/gauss-cyberweapon-infecting-lebanons-banks
  4. media.kasperskycontenthub.comhttps://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/20134940/kaspersky-lab-gauss.pdf
  5. itnews.com.auhttps://www.itnews.com.au/news/gauss-trojan-targets-lebanese-banks-311501

Incidents liés

EspionnageRésolu

Campagne mondiale d'espionnage mobile Dark Caracal

Une campagne de cyberespionnage pluriannuelle liée à la Direction générale de la Sûreté générale libanaise (GDGS) a dérobé des centaines de gigaoctets de données à des milliers de victimes dans plus de 21 pays, au moyen d'applications Android piégées et de logiciels malveillants pour ordinateurs.

Victim
Militants, journalistes, avocats, cibles militaires et gouvernementales (21+ pays)
Espionnagestolen

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim
Bangladesh Bank
Loss
$81.0M
EspionnageRésolu

Violation de données Anthem Inc.

Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.

Victim
Anthem Inc.
Loss
$260.0M
Records
78.8M
EspionnageContenu

Campagne d'espionnage UNC6508 visant la recherche médicale et de défense (lié à la RPC)

Le Threat Intelligence Group de Google a révélé que l'acteur lié à la RPC UNC6508 a passé plus d'un an au sein d'environnements de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada, compromettant d'anciens serveurs REDCap, déployant le maliciel sur mesure INFINITERED et détournant les règles de conformité de la messagerie Google Workspace pour exfiltrer discrètement des données de recherche et de défense.

Victim
Institutions de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada