Vidéo: PRESS CONFERENCE- DEPARTMENT OF HEALTH 09.06.2020 (Novembre 2024)
Les chercheurs de Kaspersky Lab ont découvert une opération de cyberespionnage contre des organisations gouvernementales, énergétiques, pétrolières et gazières à travers le monde en utilisant la gamme d'outils la plus sophistiquée jamais vue. La société a déclaré que cette opération avait toutes les caractéristiques pour être une attaque d’État-nation.
Costin Raiu, directeur de l'équipe mondiale de recherche et d'analyse de Kaspersky Lab, et son équipe ont dévoilé les détails de "The Mask" lors du sommet des analystes de la sécurité de Kaspersky Lab, lundi, décrivant comment l'opération utilisait un rootkit, un bootkit et des logiciels malveillants conçus pour Windows, Mac OS X et Linux. Des logiciels Android et iOS pourraient même exister, a indiqué l’équipe. Selon tous les indicateurs, The Mask est une campagne d’État-nation d’élite. Sa structure est encore plus sophistiquée que la campagne Flame associée à Stuxnet.
"C’est l’un des meilleurs que j’ai vu. Auparavant, le meilleur groupe d’APT était celui qui se trouvait derrière Flame, mais cela change maintenant mon opinion en raison de la manière dont les infrastructures sont gérées, de la manière dont elles réagissent aux menaces, de la vitesse de réaction et du professionnalisme., "Dit Raiu. Le masque va "au-delà de Flame et de tout ce que nous avons vu jusqu'à présent".
L'opération n'a pas été détectée pendant environ cinq ans et a touché 380 victimes sur plus de 1 000 adresses IP ciblées appartenant à des entités gouvernementales, des bureaux diplomatiques et des ambassades, des instituts de recherche et des activistes. La liste des pays touchés est longue et comprend notamment: Algérie, Argentine, Belgique, Bolivie, Brésil, Chine, Colombie, Costa Rica, Cuba, Égypte, France, Allemagne, Gibraltar, Guatemala, Iran, Irak, Libye, Malaisie, Mexique, Maroc, Norvège, Pakistan, Pologne, Afrique du Sud, Espagne, Suisse, Tunisie, Turquie, Royaume-Uni, États-Unis et Venezuela.
Déballer le masque
Le masque, également appelé Careto, dérobe des documents et des clés de cryptage, des informations de configuration pour les réseaux privés virtuels (VPN), des clés pour Secure Shell (SSH) et des fichiers pour le client Bureau à distance. Il efface également les traces de ses activités du journal. Selon Kaspersky Lab, le logiciel malveillant a une architecture modulaire et prend en charge les plug-ins et les fichiers de configuration. Il peut également être mis à jour avec de nouveaux modules. Le logiciel malveillant a également tenté d'exploiter une version plus ancienne du logiciel de sécurité de Kaspersky.
"Il essaie d'abuser de l'un de nos composants pour se cacher", a déclaré Raiu.
L'attaque commence par des courriels d'hameçonnage comportant des liens vers une URL malveillante hébergeant plusieurs exploits avant de livrer les utilisateurs au site légitime référencé dans le corps du message. À ce stade, les attaquants contrôlent les communications de la machine infectée.
Les attaquants ont utilisé un exploit qui ciblait une vulnérabilité dans Adobe Flash Player, qui permettait aux attaquants de contourner le sandbox dans Google Chrome. La vulnérabilité a été exploitée pour la première fois avec succès lors du concours Pwn2Own à CanSecWest en 2012 par le courtier en vulnérabilités français VUPEN. VUPEN a refusé de divulguer les détails de la manière dont il a mené l'attaque, affirmant qu'ils voulaient le conserver pour leurs clients. Raiu n'a pas carrément déclaré que l'exploit utilisé dans The Mask était identique à celui de VUPEN, mais a confirmé qu'il s'agissait de la même vulnérabilité. "Peut-être que quelqu'un exploitera lui-même", a déclaré Raiu.
VUPEN a demandé à Twitter de nier que son exploit avait été utilisé dans cette opération, déclarant: "Notre déclaration officielle à propos de #Mask: l'exploit ne nous appartient pas, il a probablement été trouvé en comparant le correctif publié par Adobe après # Pwn2Own." En d'autres termes, les attaquants ont comparé Flash Player avec les correctifs à l'édition non corrigée, éliminé les différences et déduit la nature de l'exploit.
Où est le masque maintenant?
Lorsque Kaspersky a publié un teaser de The Mask sur son blog la semaine dernière, les attaquants ont commencé à mettre fin à leurs activités, a déclaré Raiu. Le fait que les attaquants aient pu fermer leur infrastructure dans les quatre heures suivant la publication du teaser par Kaspersky indique qu'ils étaient vraiment professionnels, a déclaré Jaime Blasco, directeur de la recherche chez AlienVault Labs.
Alors que Kaspersky Lab a arrêté les serveurs de commande et de contrôle associés à l'opération et qu'Apple a fermé les domaines associés à la version Mac de l'exploit, Raiu estime qu'ils ne sont qu'un "instantané" de l'infrastructure globale. "Je suppose que nous voyons une fenêtre très étroite sur leurs opérations", a déclaré Raiu.
Bien qu'il soit facile de supposer que, parce que le code en espagnol mentionnait que les assaillants venaient d'un pays hispanophone, Raiu a souligné que les assaillants auraient facilement pu utiliser une langue différente comme drapeau rouge pour écarter les enquêteurs. Où est le masque maintenant? Nous ne savons tout simplement pas.
