Des chercheurs découvrent une nouvelle campagne mondiale de cyberespionnage

Des chercheurs en sécurité ont identifié une campagne de cyberespionnage en cours qui a compromis 59 ordinateurs appartenant à des organisations gouvernementales, des instituts de recherche, des groupes de réflexion et des entreprises privées de 23 pays du monde.

La campagne d'attaque a été découverte et analysée par des chercheurs de l'entreprise de sécurité Kaspersky Lab et du Laboratoire de cryptographie et de sécurité du système (CrySyS) de l'Université de technologie et d'économie de Budapest.

Surnommé MiniDuke utilisé des e-mails ciblés - une technique connue sous le nom de spear phishing - qui transportait des fichiers PDF malveillants truqués avec un recen Exploitation corrigée pour Adobe Reader 9, 10 et 11.

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

L'exploit a été découvert au début du mois dans des attaques actives par des chercheurs en sécurité de FireEye. de contourner la protection sandbox dans Adobe Reader 10 et 11. Adobe a publié des correctifs de sécurité pour les vulnérabilités ciblées par l'exploit le 20 février.

Les nouvelles attaques MiniDuke utilisent le même exploit identifié par FireEye, mais avec quelques modifications avancées, dit Costin Raiu, directeur de l'équipe mondiale de recherche et d'analyse de Kaspersky Lab, mercredi. Cela pourrait suggérer que les attaquants avaient accès à la boîte à outils qui a été utilisée pour créer l'exploit original.

Les fichiers PDF malveillants sont des copies non fiables de rapports avec un contenu pertinent pour les organisations ciblées et incluent un rapport sur la réunion informelle Asie-Europe (ASEM) sur les droits de l'homme, un rapport sur le plan d'action de l'OTAN en Ukraine, un rapport sur la politique étrangère régionale de l'Ukraine et un rapport sur l'Association économique arménienne de 2013, et plus encore.

installer un logiciel malveillant chiffré avec des informations collectées à partir du système affecté. Cette technique de chiffrement a également été utilisée dans le logiciel malveillant cyber-espionnage Gauss et empêche l'analyse du logiciel malveillant sur un système différent, a indiqué Raiu. S'il est exécuté sur un autre ordinateur, le logiciel malveillant s'exécutera, mais n'initiera pas ses fonctionnalités malveillantes.

Un autre aspect intéressant de cette menace est qu'elle ne fait que 20 Ko et a été écrite en Assembler, une méthode rarement utilisée aujourd'hui par les créateurs de logiciels malveillants. Sa petite taille est également inhabituelle par rapport à la taille des logiciels malveillants modernes, a déclaré Raiu.

Les logiciels malveillants installés lors de cette première phase de l'attaque se connectent à des comptes Twitter spécifiques contenant des commandes cryptées pointant vers quatre sites Web qui commandent et serveurs de contrôle. Ces sites, hébergés aux États-Unis, en Allemagne, en France et en Suisse, hébergent des fichiers GIF cryptés contenant un second programme de porte dérobée.

La seconde porte dérobée est une mise à jour du premier et se connecte aux serveurs de commande et de contrôle. pour télécharger encore un autre programme de porte dérobée qui est spécialement conçu pour chaque victime. Mercredi, les serveurs de commande et de contrôle hébergeaient cinq programmes de porte dérobée différents pour cinq victimes uniques au Portugal, en Ukraine, en Allemagne et en Belgique. Ces programmes de porte dérobée uniques se connectent à différents serveurs de commande et de contrôle au Panama ou en Turquie., et ils permettent aux attaquants d'exécuter des commandes sur les systèmes infectés.

Les gens derrière la campagne de cyber-espionnage MiniDuke ont fonctionné depuis au moins avril 2012, lorsque l'un des comptes Twitter spéciaux a été créé, a déclaré Raiu. Cependant, il est possible que leur activité ait été plus subtile jusqu'à récemment, quand ils ont décidé de tirer parti de la nouvelle version d'Adobe Reader pour compromettre le plus d'organisations possible avant que les vulnérabilités ne soient corrigées, a-t-il dit.Le malware utilisé dans les nouvelles attaques est unique et n'a jamais été vu auparavant, de sorte que le groupe aurait pu utiliser différents logiciels malveillants dans le passé, a dit Raiu. Selon lui, les attaquants ont probablement un vaste programme.

Les victimes de MiniDuke comprennent des organisations de Belgique, du Brésil, de Bulgarie, de République tchèque, de Géorgie, d'Allemagne, de Hongrie, d'Irlande., Israël, Japon, Lettonie, Liban, Lituanie, Monténégro, Portugal, Roumanie, Russie, Slovénie, Espagne, Turquie, Ukraine, Royaume-Uni et États-Unis.

Aux États-Unis, un institut de recherche, deux États-Unis Raiu a déclaré: «L'attaque n'est pas aussi sophistiquée que Flame ou Stuxnet, mais elle est néanmoins de haut niveau, a déclaré Raiu.

Cela dit, le style de codage de porte dérobée rappelle un groupe d'auteurs de malwares connu sous le nom de 29A, considéré comme disparu depuis 2008. Il y a un "666" signature dans le code et 29A est la représentation hexadécimale de 666, a déclaré Raiu.

Une valeur "666" a également été trouvée dans le malware utilisé dans les attaques précédentes analysées par FireEye, mais cette menace était différente de MiniDuke, Raiu a dit. La question de savoir si les deux attentats sont liés reste ouverte.

Les nouvelles de cette campagne de cyberespionnage font suite à de nouvelles discussions sur la menace chinoise de cyberespionnage, en particulier aux Etats-Unis, qui ont été provoquées par un récent rapport de société de sécurité Mandiant. Le rapport contient des détails sur les activités d'un groupe de cyberattaques surnommé le Commentaire Crew que Mandiant croit être une cyber-unité secrète de l'armée chinoise. Le gouvernement chinois a rejeté ces allégations, mais le reportage a été largement couvert par les médias.

Raiu a déclaré qu'aucune des victimes de MiniDuke identifiées jusqu'ici n'était originaire de Chine, mais a refusé de spéculer sur l'importance de ce fait. La semaine dernière, des chercheurs en sécurité d'autres entreprises ont identifié des attaques ciblées qui diffusaient le même exploit PDF se faisant passer pour des copies du rapport Mandiant.

Ces attaques ont installé des logiciels malveillants clairement d'origine chinoise, a indiqué Raiu. Cependant, la façon dont l'exploit a été utilisé dans ces attaques était très grossière et le logiciel malveillant était peu sophistiqué par rapport à MiniDuke, at-il dit.