Archives par mot-clé : careto

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering, Virus

Equation Group : nouvelles tactiques de cyber espionnage

Les attaques de cyber espionnage commanditées par des Etats gagnent en complexité pour échapper au radar de systèmes de détection de plus en plus efficaces. Cette nouvelle tendance est confirmée par une analyse des spécialistes de Kaspersky Lab, centrée sur la plate-forme de cyber espionnage EquationDrug.

EquationDrug est la principale plate-forme d’espionnage développée par Equation Group et utilisée depuis plus d’une décennie, bien qu’à présent largement remplacée par GrayFish, une plate-forme encore plus sophistiquée. Les tendances tactiques confirmées par l’analyse d’EquationDrug ont été observées en premier par Kaspersky Lab au cours de ses recherches sur les campagnes de cyber espionnage Careto et Regin notamment.

Des techniques qui évoluent pour rester toujours plus indétectables
Les experts ont observé qu’après les succès croissants du secteur dans la mise au jour des groupes à l’origine des menaces persistantes avancées (APT), les plus élaborés d’entre eux s’attachent désormais à multiplier le nombre de composants de leur plate-forme malveillante afin d’en réduire la visibilité et d’en améliorer la discrétion. Les dernières plateformes comportent de nombreux modules qui leur permettent de sélectionner et de réaliser un large éventail de fonctions différentes, selon les victimes ciblées et les informations en leur possession. Selon les estimations de Kaspersky Lab, EquationDrug comprend 116 modules distincts.

« Les auteurs d’attaques commanditées par des Etats cherchent à créer des outils de cyber espionnage plus stables, invisibles, fiables et universels. Ils se concentrent sur le développement de frameworks permettant d’intégrer ces codes dans des éléments personnalisables sur des systèmes actifs et offrant un moyen sûr de stocker l’ensemble des composants et des données sous une forme cryptée, inaccessible au commun des utilisateurs », explique Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. « La sophistication d’un tel framework distingue ce type de menace des cybercriminels traditionnels, qui préfèrent se focaliser sur les capacités du code malveillant, conçu dans l’optique de gains financiers directs. »

D’autres caractéristiques différencient les tactiques des auteurs d’attaques commanditées par des Etats, comparés aux cybercriminels classiques :

·         Echelle. Les cybercriminels traditionnels diffusent en masse des e-mails contenant des pièces jointes malveillantes ou infectent des sites Web à grande échelle, tandis que les acteurs étatiques privilégient des frappes chirurgicales extrêmement ciblées, n’infectant qu’une poignée d’utilisateurs spécifiques.

·         Personnalisation. Tandis que les cybercriminels classiques réutilisent généralement du code source disponible dans le domaine public, à l’exemple des chevaux de Troie de sinistre réputation Zeus ou Carberb, les acteurs étatiques confectionnent des malwares personnalisés, y intégrant même des restrictions qui empêchent leur décryptage et leur exécution en dehors de l’ordinateur ciblé.

·         Extraction d’informations sensibles. Les cybercriminels tentent en général d’infecter le plus grand nombre possible d’utilisateurs. Ils ne disposent cependant pas de suffisamment de temps ni d’espace de stockage pour examiner manuellement chacune des machines infectées et analyser l’identité de leur propriétaire, la nature des données qu’elle renferme et le type des logiciels qui y sont exécutés, puis transférer et conserver la totalité des informations potentiellement intéressantes.

o    En conséquence, ils codent des malwares de vol « tout en un » qui se bornent à n’extraire que les données les plus précieuses (mots de passe ou numéros de cartes de crédit, par exemple) sur les machines des victimes, une activité susceptible d’attirer rapidement sur eux l’attention de tout logiciel de sécurité installé.

o    Par contre, pour leur part, les auteurs des attaques étatiques, disposent de ressources suffisantes pour stocker autant de données qu’ils le souhaitent. Afin de passer inaperçus des logiciels de sécurité, ils évitent d’infecter des utilisateurs au hasard et font plutôt appel à un outil générique de gestion de systèmes à distance, capable de copier toutes les informations éventuellement nécessaires, quelle qu’en soit la quantité. Cela risque toutefois de jouer contre eux car le transfert de volumes massifs de données pourrait ralentir la connexion réseau et éveiller les soupçons.

« Il peut sembler inhabituel qu’une plate-forme de cyber espionnage aussi puissante qu’EquationDrug n’offre pas toutes les capacités de vol en standard au cœur de son code malveillant. L’explication tient au fait que ses concepteurs préfèrent personnaliser l’attaque pour chacune de leurs victimes. Ce n’est que s’ils ont décidé de vous surveiller activement et que les produits de sécurité sur vos machines ont été neutralisés que vous recevrez un module espionnant en direct vos conversations ou d’autres fonctions spécifiques liées à vos activités. Nous pensons que la modularité et la personnalisation vont devenir la marque distinctive des attaques étatiques à l’avenir », termine Costin Raiu.

Cyber-attaque, DDoS, Leak, Piratage

The Mask : nouvelle campagnes de cyber-espionnage

L’équipe de recherche en sécurité de Kaspersky Lab a annoncé la découverte de « The Mask » (alias « Careto »), une menace avancée, en langue espagnole, incluse dans des opérations de cyber-espionnage actives depuis au moins 2007. La particularité de « The Mask » réside dans la complexité des outils employés par les auteurs des attaques. Il s’agit de malwares extrêmement élaborés, notamment un rootkit, un bootkit, des versions Mac OS X et Linux, voire des versions pour Android et iOS (iPad/iPhone). Les principales cibles sont des administrations, des représentations diplomatiques et des ambassades, des compagnies pétrolières, gazières et énergétiques, des laboratoires de recherche et des activistes. Les victimes de ces attaques ciblées se répartissent dans 31 pays à travers le monde, allant du Moyen-Orient à l’Europe, de l’Afrique au continent américain. La France, la Belgique, le Maroc, l’Algérie, la Tunisie font partis de la liste.

Les auteurs des attaques ont essentiellement pour objectif de collecter des données sensibles auprès des systèmes infectés : documents de travail mais aussi diverses clés de cryptage, configurations VPN, clés SSH (permettant d’identifier un utilisateur sur un serveur SSH) et fichiers RDP (utilisés par le logiciel Remote Desktop Client pour ouvrir automatiquement une connexion avec un ordinateur réservé).

« Plusieurs raisons nous amènent à penser que cette campagne pourrait être commanditée par certains Etats. Avant tout, nous avons observé un très haut degré de professionnalisme dans les procédures opérationnelles du groupe qui se cache derrière cette attaque, depuis la gestion des infrastructures, la clôture de l’opération, la dissimulation au moyen de règles d’accès et l’effacement du contenu des fichiers journaux au lieu de leur suppression. Tout cela contribue à rendre cette menace persistante avancée (APT) encore plus complexe que Duqu et à en faire l’une des menaces les plus évoluées du moment », commente à Data Security Breach Costin Raiu, directeur de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Un tel niveau de sécurité opérationnelle n’est pas courant chez les groupes de cybercriminels. »

Les chercheurs ont pris pour la première fois conscience de l’existence de Careto, l’an passé, lorsqu’ils ont observé des tentatives d’exploitation d’une vulnérabilité qui avait été corrigée depuis cinq ans dans les produits de la société. Cette faille permettait au malware d’éviter toute détection. Ce constat a naturellement éveillé l’intérêt des chercheurs et déclenché leur enquête. Pour les victimes, une infection par Careto peut se révéler désastreuse, car celui-ci intercepte toutes les communications et recueille les informations les plus vitales sur les machines ciblées. Sa détection est extrêmement difficile en raison de ses capacités de rootkit furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber-espionnage.

Les auteurs semblent avoir pour langue maternelle l’espagnol, ce qui est très rare dans le cas d’attaques APT. Cla ne prouve cependant pas qu’ils sont hispaniques. La campagne a été active pendant au moins cinq ans jusqu’à janvier 2014 (certains échantillons de Careto ont été compilés en 2007). Plus de 380 victimes uniques ont été répertoriées sur plus de 1000 adresses IP. Les pays suivants ont été infectés : Algérie, Argentine, Belgique, Bolivie, Brésil, Chine, Colombie, Costa Rica, Cuba, Egypte, France, Allemagne, Gibraltar, Guatemala, Iran, Iraq, Libye, Malaisie, Mexique, Maroc, Norvège, Pakistan, Pologne, Afrique du Sud, Espagne, Suisse, Tunisie, Turquie, Royaume-Uni, Etats-Unis et Venezuela. Cette opération de cyber-espionnage est atypique par la complexité et l’universalité des outils utilisés par les criminels. Ces outils incluent notamment des exploits haut-de-gamme, un bout malware extrêmement sophistiqué, un rootkit, un bootkit, des versions Mac OS X et Linux et potentiellement des versions pour Android et iPad/iPhone (iOS). The Mask a également utilisé une attaque spécialement conçue pour cibler les produits Kaspersky Lab.

Fonctionnalités & méthodes d’infection
Selon le rapport d’analyse, la campagne The Mask repose sur des emails de spear-phishing qui contiennent des liens vers un site web malicieux. Ce site web contient un certain nombre d’exploits conçus pour infecter les visiteurs, en fonction de la configuration du système. Lorsqu’un utilisateur a été infecté, le site web le redirige vers le site web bénin qui a été référencé dans l’email d’origine, qui peut être par exemple une vidéo Youtube ou un portail d’actualités. Il est important de noter que les sites web malicieux n’infectent pas automatiquement le visiteur. En effet, les cybercriminels hébergent leurs exploits sur le site dans des dossiers spécifiques qui ne sont pas directement référencés, excepté dans l’email d’origine. Parfois, les criminels utilisent des sous-domaines sur les sites web en question, pour accentuer le réalisme des sites web. Ces sous-domaines simulent l’existence de sous-sections des principaux journaux quotidiens espagnols et quelques journaux internationaux comme « The Guardian » ou « Washington Post ».

Le malware intercepte tous les canaux de communication et collecte les informations vitales du système infecté. Il est extrêmement difficile à détecter en raison d’un rootkit furtif. Careto est un système hautement modulaire, qui supporte des plugins et des dossiers de configuration. Cela lui permet d’exécuter de nombreuses fonctions. D’autre part, en plus des fonctionnalités intégrées, les opérateurs de Careto pourraient ajouter des modules complémentaires capables d’effectuer n’importe quelle attaque.