Archives de catégorie : Microsoft

Cybersécurité, Entreprise, Microsoft, Patch

Massgrave : un crack ultime pour les licences Windows et Office ?

Le groupe de crackers Massgrave annonce avoir trouvé une méthode pour activer presque toutes les versions de Windows et Office, incluant des licences permanentes.

Le groupe de « pirate de logiciels » Massgrave (MassGravel) affirme avoir réalisé une avancée majeure dans le piratage des licences des logiciels Microsoft, permettant désormais d’activer quasiment toutes les versions de Windows et Office de manière permanente.

Selon leurs déclarations, cette nouvelle méthode fonctionne sur toutes les éditions clients et serveurs de Windows, y compris les mises à jour de sécurité étendues (ESU) et les clés de licence spécifiques à Microsoft (CSVLK). Massgrave promet ainsi une activation complète pour des versions allant de Windows Vista jusqu’à Windows 11 et Server 2025.

Cette méthode, encore en développement, pourrait également offrir un support prolongé pour Windows 10 à partir d’octobre 2025, date à laquelle le support officiel prendra fin. Les outils de Massgrave, disponibles en open source sur GitHub, illustrent une nouvelle étape dans la guerre entre Microsoft et les pirates, avec des implications majeures pour la cybersécurité.

Une fenêtre pirate pour Windows

Massgrave a récemment annoncé une méthode permettant d’activer « presque toutes les protections de licence des logiciels Windows et Office » de manière permanente. Leur nouvelle technique, basée sur une extension des solutions de contournement existantes, inclut des fonctionnalités avancées comme la prise en charge des mises à jour de sécurité étendues (ESU) et des licences en volume spécifiques (CSVLK), rendant la méthode compatible avec les dernières versions de Windows et Office. Autant dire que Microsoft pourrait voir d’un très mauvais œil cette annonce.

Depuis des années, l’activation des logiciels Microsoft nécessite une clé valide ou une licence officielle. Cependant, les solutions de contournement, souvent basées sur des lignes de commande PowerShell, permettent d’activer temporairement certaines versions. Massgrave franchit un nouveau cap en revendiquant une méthode capable d’activer définitivement Windows 8, Windows 10, et même Windows 11, ainsi que les dernières éditions d’Office, y compris Server 2025.

Les crackers annoncent également que leur outil offrira un support étendu (ESU) pour Windows 10, prévu pour octobre 2025. Cette fonctionnalité est particulièrement attirante pour les utilisateurs souhaitant prolonger la durée de vie de leurs systèmes après la fin du support officiel.

Le groupe a également souligné que leurs outils, disponibles en open source sous le projet Microsoft Activation Scripts (MAS) sur GitHub, illustrent un paradoxe intéressant : malgré la visibilité de ces projets, Microsoft n’a pris aucune mesure significative pour les bloquer. Il est même rapporté que certains ingénieurs du support Microsoft auraient utilisé les solutions de Massgrave dans des situations de dépannage. (Sic!)

La disponibilité des outils sur GitHub pose des questions sur la politique de tolérance de Microsoft envers ce type de pratiques. Alors que l’entreprise pourrait engager des actions pour limiter leur diffusion, elle semble, jusqu’à présent, adopter une posture passive. Cette situation alimente un débat sur la manière dont les grandes entreprises technologiques gèrent le piratage de leurs propres produits.

Massgrave précise que leur nouvelle méthode est encore en phase de développement et devrait être disponible dans les mois à venir.

Préoccupation pour les entreprises

Pour les entreprises, cette annonce soulève des préoccupations importantes en matière de cybersécurité et de conformité légale. D’abord le risque de se faire piéger par des logiciels crackés. Le cas des logiciels professionnels piégés par l’info stealer Redline en est un parfait exemple.

Ensuite, l’utilisation de cracks, bien qu’elle puisse sembler une solution rapide et économique, expose les utilisateurs à des risques majeurs. Ces outils peuvent inclure des malwares ou des portes dérobées, rendant les systèmes vulnérables aux attaques. De plus, l’usage de logiciels non licenciés constitue une violation des termes d’utilisation, avec des implications légales et financières potentielles.

Alors que Massgrave promet une avancée significative dans le piratage, il est crucial de rappeler que l’utilisation de ces outils n’est pas sans conséquence. Les entreprises comme les particuliers doivent se méfier des solutions « trop belles pour être vraies » et privilégier des alternatives légales pour sécuriser leurs systèmes.

Années 2010 : Premiers outils d’activation temporaire basés sur PowerShell.
2020 : Développement du projet Microsoft Activation Scripts (MAS) par Massgrave.
Décembre 2024 : Annonce d’une méthode révolutionnaire pour activer Windows et Office de manière permanente.
2025 : Prévision d’un support étendu (ESU) pour Windows 10 après la fin du support officiel.

L’annonce de Massgrave illustre les défis croissants auxquels sont confrontées les entreprises technologiques comme Microsoft face au piratage de leurs produits.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

Cybersécurité, Microsoft, Mise à jour, Patch

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

Cybersécurité, Microsoft, Mise à jour, Patch

130 failles corrigées en juillet pour Microsoft

Le Patch Tuesday de ce mois de juillet comprend des correctifs pour 130 CVE, ce qui en fait le plus vaste Patch Tuesday de l’année 2023 jusqu’à présent. Sur les 130 CVE corrigées ce mois-ci, neuf sont jugées critiques et 121 importantes. Ce mois-ci, cinq vulnérabilités ont été exploitées par des hackers sous forme de zero days et Microsoft a publié une alerte concernant l’utilisation malveillante de Microsoft Signed Drivers. »

« Deux vulnérabilités zero-day de contournement des fonctionnalités de sécurité dans Microsoft Outlook (CVE-2023-35311) et Windows SmartScreen (CVE-2023-32049) ont été exploitées dans la nature par des attaquants. Les détails de l’exploitation n’étaient pas disponibles au moment de la publication des mises à jour du Patch Tuesday, mais il semble que les attaquants aient pu avoir recours à l’ingénierie sociale pour convaincre une cible de cliquer sur une URL malveillante. Dans les deux cas, les messages d’avertissement de sécurité conçus pour protéger les utilisateurs ont été contournés. » indique à DataSecurityBreach.fr Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des chercheurs du Threat Analysis Group (TAG) de Google ont révélé un zero day dans le Windows Error Reporting de Microsoft (CVE-2023-36874) qui pourrait permettre à un attaquant de bénéficier de privilèges administratifs. En outre, le Microsoft Threat Intelligence Center (MSTIC) a révélé un zero day dans Windows MSHTML Platform (CVE-2023-32046). Pour exploiter cette faille, il faut convaincre un utilisateur d’ouvrir un fichier spécialement conçu, soit par mail, soit par l’intermédiaire d’un vecteur d’attaque en ligne. Il est également intéressant de noter la présence de mises à jour cumulatives pour Internet Explorer. Malgré l’abandon d’Internet Explorer 11, certains de ses composants, dont MSHTML et EdgeHTML, sont toujours pris en charge par plusieurs versions de Windows Server, ce qui explique pourquoi des correctifs ont été publiés pour ces produits.

Microsoft a également corrigé la CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Windows et Office qui a été exploitée dans la nature en tant que zero day, et qui a été utilisée dans des attaques ciblées via des documents Microsoft Office corrompus. Ces attaques ont été attribuées à un acteur malveillant connu sous le nom de Storm-0978 ou DEV-0978, qui serait basé en Russie. Storm-0978 est connu pour mener des attaques de ransomware et d’extorsion uniquement, y compris des campagnes de vol d’informations d’identification, contre des cibles en Ukraine, en Amérique du Nord et en Europe.

Enfin, Microsoft a également publié des conseils concernant l’utilisation malveillante de pilotes signés dans le cadre de son programme Microsoft Windows Hardware Developer Program (MWHDP). Il est apparu que certains comptes de développeurs du Microsoft Partner Center soumettaient des pilotes malveillants afin d’obtenir une signature Microsoft. L’utilisation abusive de ces pilotes signés a été découverte dans le cadre d’une activité de post-exploitation, qui exigeait qu’un attaquant obtienne d’abord des privilèges administratifs sur le système ciblé avant d’exécuter les pilotes signés malveillants. Ces comptes de développeurs ont été suspendus et, grâce aux récentes mises à jour de sécurité de Windows, les pilotes malveillants sont désormais considérés comme non fiables.

Cybersécurité, Microsoft, Mise à jour

Windows Update Restored : mettre à jour votre Windows 95

Un projet indépendant, Windows Update Restored vise à faciliter la mise à jour des anciennes versions de Windows, notamment Win95, 98 et NT 4.0. Attention, danger en cas de connexion web d’OS obsolètes !

Voilà qui est original. Le site Windows Update Restored, mis en place par des amateurs d’ordinateurs rétro, donne accès aux pages Windows Update perdues. Mission, permettre la mise à jour de vieux, trés vieux Windows. L’équipe du projet espère aider ceux qui installent et mettent à niveau les systèmes Windows 95, NT 4.0, 98, Me, 2000 et XP. Le fait est que les anciennes versions de Windows reposaient principalement sur le travail de l’application Web Windows Update, et non sur les outils de mise à jour intégrés, comme c’est le cas actuellement. Et vers la mi-2011, Microsoft a fermé la version du site qui pouvait analyser et mettre à jour Windows 95 et 98.

Le site Windows Update Restored est une version légèrement modifiée du site de Microsoft, un clone du site Windows Update v3.1 (datant de 1997) qui couvre Windows 95, NT 4.0 et Windows 98 (et SE). Le site n’utilise pas SSL ou TLS, donc les anciennes versions d’Internet Explorer peuvent toujours y accéder. Pour accéder aux mises à jour, vous aurez besoin d’au moins Internet Explorer 5.

Étant donné que ce navigateur ne peut plus être téléchargé directement depuis Microsoft, le site Windows Update Restored propose des liens de téléchargement pour IE5 et IE5.5 dans toutes les langues prises en charge.

Pour rappel, à utiliser à vos risques et périls. Les mises à jour pour Windows 95 ont été stoppées il y a 22 ans, et que Windows 98 et ME ont cessé de recevoir des mises à jour en 2006.

Cybersécurité, Microsoft, Mise à jour

Microsoft propose d’isoler les applications pour une meilleure sécurité

Alors que l’on entend surtout parler de ChatGPT dans les outils Microsoft, une autre fonctionnalité plus intéressante apparait dans Windows 11 : l’isolation des applications Win32.

Actuellement en phase de test dans une version d’aperçu, cette nouvelle fonction permettra aux utilisateurs d’exécuter des applications Win32 dans un environnement isolé, offrant ainsi une protection accrue et une sécurité renforcée pour le système d’exploitation. En créant une sorte de bac à sable, les applications Win32 ne pourront pas affecter le reste du système en cas de compromission ou d’attaque. Cette initiative fait partie de la mise à jour majeure de Windows 11, baptisée « Moment 3 », qui apporte également un support natif pour des formats de compression populaires tels que 7-Zip, RAR et GZ. Les utilisateurs des versions de prévisualisation peuvent déjà profiter de cette nouvelle fonctionnalité, qui promet d’améliorer l’expérience de sécurité et de confidentialité sur Windows 11.

Cybersécurité, Microsoft, Mise à jour, Patch

Vulnérabilités : trois 0day à corriger d’urgence

Microsoft élimine trois 0days dans Windows, deux sont utilisés dans des cyber attaques.

Microsoft a publié de nombreux correctifs en ce mois de mai pour Windows. Au total, les développeurs ont corrigé 38 problèmes, dont trois vulnérabilités zero-day (0day).

Six vulnérabilités ont reçu le statut de critiques, car elles permettent l’exécution de code à distance.

Huit vulnérabilités d’escalade de privilèges. Quatre façons de contourner les fonctions de sécurité. 12 trous menant à l’exécution de code à distance. Huit problèmes de divulgation. Cinq vulnérabilités DoS. Une possibilité de spoofing.

Quant aux trois 0days que Microsoft a fermé ce mois-ci : deux d’entre eux sont déjà activement utilisés dans de véritables cyberattaques, et le reste attend dans les coulisses, puisque les détails techniques sont sur le Web.

CVE-2023-29336 est l’une des vulnérabilités exploitées. Provoque une élévation et affecte Win32k. Avec son aide, les pirates peuvent obtenir des privilèges de niveau SYSTEM dans le système d’exploitation.

CVE-2023-24932 est une autre vulnérabilité exploitable qui pourrait conduire à des contournements de sécurité. C’est ce 0day qui est utilisé pour installer le bootkit BlackLotus UEFI .

CVE-2023-29325 est le dernier 0day affectant Windows OLE qui pourrait conduire à l’exécution de code à distance. Il peut être utilisé avec un e-mail spécialement conçu.

Début 2023, les responsables ukrainiens du CERT-UA avaient signalé une vulnérabilité à l’équipe de réponse aux incidents de Microsoft après que des pirates basés en Russie avaient utilisé une vulnérabilité dans le service de messagerie Outlook de Microsoft (CVE-2023-23397). L’attaque aurait visé quelques organisations des secteurs gouvernemental, des transports, de l’énergie et militaire en Europe selon le CERT-UA.

Bien que le problème ait été corrigé en mars 2023, le chercheur d’Akamai, Ben Barnea, découvrait un moyen de contourner le correctif. Il permettrait à un pirate d’utiliser la vulnérabilité pour contraindre un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Une vulnérabilité sans clic – ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur – et que toutes les versions de Windows étaient affectées. Faille corrigée ce mardi 9 mai via la CVE 29324.

Cybersécurité, Microsoft, Mise à jour

Microsoft : la prise en charge de Windows Server 2012 prend fin en octobre

Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.

Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.

Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.

Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.

Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.

Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.

A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.

Cybersécurité, Microsoft, Mise à jour

14 janvier : bye bye Windows 7 et de Windows Server 2008

Le 14 janvier, Microsoft tirera définitivement un trait sur Windows 7 et Windows Server 2008. Faut-il vraiment craindre pour la sécurité des ordinateurs exploitant encore ces deux OS ?

Depuis 5 ans, Microsoft alerte sur la fin de ses produits Windows 7 et de Windows Server 2008. La fin de la prise en charge de ces deux OS. Cela veut dire qu’il n’y aura plus de mises à jour et rustines de sécurité. En décembre 2019, le géant américain publiait ses derniers correctifs. L’un d’eux, le CVE-2019-1458, permet une élévation des privilèges sur une machine impactée. Bilan, un pirate peut prendre la main sur ce qui ne lui appartient pas. Comme par « magie », faille qui affecte à la fois Win7 et 2008. Les utilisateurs doivent-ils avoir peur pour l’après 2014 ?

Oui et Non !

Non, car si 0Day il y a, les pirates ne vont certainement pas attendre pour l’exploiter. D’autant plus que des dizaines de communiqué de presse incitent à migrer vers une version supérieure de Windows. Les pirates ne voudront certainement pas perdre l’occasion d’attaquer avant une potentielle migration.

Oui, car après le 14 janvier, les deux OS seront définitivement « mort ». Plus de mises à jour, d’évolutions, … Des pirates voudront peut-être se servir de ces « vieillards » pour lancer une attaque de type Wanacry.

Bref, vous êtes grands ! A vous de savoir si vous souhaitez jouer avec le feu ! Il y aurait encore 26% de PCs sous cet OS de part le monde. Pour rappel, Wanacry, en 2007, avait profité de 200 000 appareils obsolètes (dans 150 pays), selon Europol, pour se répandre. Microsoft avait annoncé la fin du support de ces deux OS, en 2015.ils, blogs …

Entreprise, Microsoft

Un 0day corrigé pour Windows 7

Des chercheurs ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.

La découverte a été signée par des chercheurs de l’éditeur de solutions de sécurité informatique ESET. L’exploit ne fonctionnait cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque. Mais cela n’empêche pas d’être face à une faille dangereuse. D’autant plus qu’il existe encore de nombreux utilisateurs de Windows 7 (le 0day fonctionne aussi sous Windows Server 2008) et que cette monture de l’OS de Microsoft ne sera plus sécurisé par des mises à jour d’ici le 14 janvier 2020. Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation.

La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. « Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci », explique Anton Cherepanov, le chercheur à l’origine de la découverte. La vulnérabilité a été référencée CVE-2019-1132.

A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft… et il serait fou de penser que des entreprises travaillent encore avec ces deux OS !

Buhtrap

Les pirates, derrière cette infiltration ? Le groupe APT « Buhtrap« , spécialisé dans les opérations d’espionnage en Europe de l’est et en Asie centrale. Le groupe Buhtrap est bien connu pour son ciblage d’institutions financières et d’entreprises russes. Cependant, depuis la fin 2015, nous assistons à une évolution intéressante : alors que les outils utilisés jusqu’à présent par le groupe n’avaient qu’une vocation purement criminelle (et lucrative, donc), ceux-ci ont été enrichis de logiciels malveillants dédiés à l’espionnage.

Il est toujours difficile d’attribuer une campagne à un acteur particulier lorsque le code source de ses outils est librement disponible sur le web. Cependant, comme le changement de cible s’est produit avant la fuite du code source, nous avons évalué avec une grande confiance que les personnes à l’origine des premières attaques contre les entreprises et les banques à l’aide du logiciel malveillant Buhtrap sont également impliquées dans le ciblage des institutions gouvernementales à des fins d’espionnage. « Il n’est pas clair si un ou plusieurs membres de ce groupe ont décidé de changer d’orientation et pour quelles raisons, mais c’est certainement quelque chose que nous sommes susceptibles d’observer plus régulièrement à l’avenir. » termine Jean-Ian Boutin, chercher en cybersécurité chez ESET.

En ce qui concerne cette campagne spécifique, le logiciel malveillant contenait un intercepteur de frappes clavier destiné à dérober les mots de passe, qui tente notamment de récupérer les identifiants des clients de messagerie, des navigateurs, etc. pour les envoyer à un serveur de commande et de contrôle. Ce logiciel malveillant offre également à ses opérateurs un accès complet au système compromis.