Vidéo: Guerre commerciale : la Chine voit rouge et cible le vin australien (Novembre 2024)
Des chercheurs de Trend Micro ont découvert qu'une opération en cours de cyberespionnage, baptisée Safe, ciblait diverses organisations dans plus de 100 pays, avec des courriels de spear phishing.
L’opération semble avoir ciblé des agences gouvernementales, des entreprises technologiques, des médias, des instituts de recherche universitaires et des organisations non gouvernementales, ont écrit Kylie Wilhoit et Nart Villeneuve, deux chercheurs sur les menaces de Trend Micro, sur le Security Intelligence Blog. Trend Micro estime que plus de 12 000 adresses IP uniques réparties dans quelque 120 pays ont été infectées par le logiciel malveillant. Cependant, seules 71 adresses IP, en moyenne, communiquaient activement avec les serveurs C & C chaque jour.
"Le nombre réel de victimes est bien inférieur au nombre d'adresses IP uniques", a déclaré Trend Micro dans son livre blanc, mais a refusé de spéculer sur un chiffre réel.
La sécurité s'appuie sur le harponnage
Safe se compose de deux campagnes distinctes de phishing utilisant la même variété de logiciels malveillants, mais utilisant des infrastructures de commande et de contrôle différentes, ont écrit les chercheurs dans le livre blanc. Les e-mails de phishing par hameçon d'une campagne avaient des lignes d'objet faisant référence au Tibet ou à la Mongolie. Les chercheurs n’ont pas encore identifié de thème commun dans les thèmes utilisés pour la deuxième campagne, qui a fait des victimes en Inde, aux États-Unis, au Pakistan, en Chine, aux Philippines, en Russie et au Brésil.
Safe envoya des e-mails de phishing par harponnage aux victimes et les incita à ouvrir une pièce jointe malveillante exploitant une vulnérabilité de Microsoft Office déjà corrigée, selon Trend Micro. Les chercheurs ont découvert plusieurs documents Word malveillants qui, une fois ouverts, installaient silencieusement une charge utile sur l'ordinateur de la victime. La vulnérabilité d'exécution de code à distance dans Windows Common Controls a été corrigée en avril 2012.
Détails de l'infrastructure C & C
Lors de la première campagne, des ordinateurs provenant de 243 adresses IP uniques dans 11 pays différents connectés au serveur C & C. Lors de la deuxième campagne, des ordinateurs de 11 563 adresses IP de 116 pays différents ont communiqué avec le serveur C & C. L'Inde semblait être la plus ciblée, avec plus de 4 000 adresses IP infectées.
L'un des serveurs C & C a été configuré pour que tout le monde puisse voir le contenu des répertoires. Les chercheurs de Trend Micro ont ainsi été en mesure de déterminer les victimes et de télécharger des fichiers contenant le code source situé derrière le serveur C & C et le programme malveillant. En regardant le code du serveur C & C, il apparaît que les opérateurs ont reconverti le code source légitime auprès d'un fournisseur de services Internet en Chine, a déclaré Trend Micro.
Les attaquants se connectaient au serveur C & C via un réseau privé virtuel et utilisaient le réseau Tor, ce qui rendait difficile la localisation de ces attaquants. "La diversité géographique des serveurs proxy et des VPN rendait difficile la détermination de leur véritable origine", a déclaré Trend Micro.
Les assaillants ont peut-être utilisé un malware chinois
Sur la base d'indices contenus dans le code source, Trend Micro a déclaré qu'il était possible que le programme malveillant soit développé en Chine. À ce stade, il n’est pas connu si les opérateurs de Safe ont développé le logiciel malveillant ou l’ont acheté de quelqu'un d'autre.
"Bien que la détermination de l'intention et de l'identité des attaquants reste difficile, nous avons estimé que cette campagne était ciblée et utilisait des logiciels malveillants développés par un ingénieur en logiciel professionnel qui pourrait être connecté à la cybercriminalité clandestine en Chine", ont écrit les chercheurs sur le blog.
