Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
News les Plus Populaires



Nouvelle attaque de Dorkbot



L'apres Windows XP : entre rumeurs et inquietudes fondees



Evaluation de la protection offerte par les navigateurs contre les programmes malveillants selon NSS



Sécurité à la Facebook



Prise de conscience de la gravite du bogue Heartbleed dans OpenSSL
 
 

  Page d'accueil / Actualité

Kaspersky Lab identifie l’opération «Red October», une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde

14.01.2013 16:51 MSK   |   comment

Kaspersky Lab publie aujourd’hui une nouvelle étude identifiant une campagne de cyberespionnage visant des représentations diplomatiques, des administrations et des organismes de recherche scientifique dans plusieurs pays depuis au moins cinq ans. Les cibles de cette campagne sont essentiellement des pays d’Europe de l’Est, des républiques de l’ex-URSS ou encore des pays du Moyen-Orient, même si les victimes peuvent se trouver partout, y compris en Europe occidentale et en Amérique du Nord. Les attaques ont pour principal objectif de collecter, au sein des organisations touchées, des documents confidentiels renfermant des renseignements géopolitiques, des codes d’accès à des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des équipements réseau.

En octobre 2012, l’équipe d’experts de Kaspersky Lab a entrepris une enquête à la suite d’une série d’attaques contre des réseaux informatiques ciblant des services diplomatiques internationaux. L’enquête a permis de mettre à jour et d’analyser un réseau de cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l’opération «Red October» (ou, en abrégé «Rocra») qui aurait débutée en 2007 se poursuit encore en janvier 2013.

Principaux résultats de l’enquête

Red October, un réseau évolué de cyberespionnage : les attaques, actives depuis au moins 2007, se concentrent sur les représentations diplomatiques et les administrations de divers pays à travers le monde, mais aussi sur des organismes de recherche, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l’aéronautique. Leurs auteurs ont conçu un malware spécifique, identifié sous l’appellation «Rocra», qui possède sa propre architecture modulaire comprenant des extensions malveillantes, des modules destinés à dérober des informations et des chevaux de Troie de type «backdoor».

Les pirates ont souvent exploité des informations obtenues sur les réseaux infectés pour s’introduire dans d’autres systèmes. Par exemple, des identifiants volés ont été collectés et utilisés dans le cadre d’attaques pour découvrir des mots de passe donnant accès à ces systèmes.

Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays, dont la majorité en Allemagne et en Russie. L’analyse par Kaspersky Lab de l’infrastructure de commande et de contrôle (C&C) de Rocra révèle que la chaîne de serveurs opère telle une série de proxies afin de masquer l’adresse réelle du serveur principal.

Les informations dérobées sur les systèmes infectés se trouvent dans des documents présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particulier, les extensions «acid*» paraissent correspondre à des fichiers du logiciel cryptographique «Acid Cryptofiler», utilisé par plusieurs entités allant de l’Union européenne à l’OTAN.

Processus d’infection des victimes

L’infection de systèmes lors d’une attaque passe par l’envoi aux victimes d’un e-mail ciblé de type «spear phishing» (harponnage) contenant un cheval de Troie personnalisé (dropper). Pour installer le malware et infecter le système, l’e-mail malveillant exploite spécifiquement des failles de sécurité dans Microsoft Office et Microsoft Excel. Cette technique a déjà été employée au cours de différentes cyberattaques, menées notamment contre des militants tibétains ou des cibles dans le secteur de la défense et de l’énergie en Asie. La seule différence réside dans le code de l’exécutable utilisé par Rocra. En particulier, l’une des commandes du cheval de Troie active par défaut, pour la session d’invite de commande, la page de code 1251, nécessaire pour la restitution des polices de caractères cyrilliques.

Victimes et entités ciblées

Les experts de Kaspersky Lab ont appliqué deux méthodes pour analyser les cibles.

En premier lieu, ils ont exploité les statistiques de détection du réseau Kaspersky Security Network (KSN), le service cloud de sécurité auquel font appel les produits de Kaspersky Lab afin d’effectuer des mesures à distance et d’offrir une protection évoluée contre les menaces sous la forme de listes noires et de règles heuristiques. KSN a détecté le code malveillant dès 2011, ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à Rocra.

La deuxième méthode mise en œuvre a consisté à créer un sinkhole (serveur appât) de façon à pouvoir surveiller les connexions des machines infectées aux serveurs C&C de Rocra. Les données reçues pendant l’analyse par l’une et l’autre méthode ont fourni des bases indépendantes de corrélation et de confirmation des résultats.

  • Statistiques KSN : plusieurs centaines de systèmes infectés distincts ont été détectés par les données de KSN, se situant essentiellement dans des ambassades, des réseaux et des organismes gouvernementaux, des instituts de recherche scientifique et des consulats. Selon ces observations, la majeure partie se trouve en Europe de l’Est, mais d’autres infections ont été également identifiées en Amérique du Nord et dans des pays d’Europe occidentale, par exemple la Suisse et le Luxembourg.
  • Statistiques du sinkhole : l’analyse du serveur appât de Kaspersky Lab s’est déroulée du 2 novembre 2012 au 10 janvier 2013. Durant de cette période, plus de 55 000 connexions provenant de 250 adresses IP infectées ont été enregistrés dans 39 pays, en majorité originaires de la Suisse, suivie du Kazakhstan et de la Grèce.
Le malware Rocra : une architecture et des fonctionnalités spécifiques

Les pirates ont créé une plate-forme d’attaque multifonction regroupant plusieurs extensions et fichiers malveillants conçus pour s’adapter rapidement à différentes configurations de systèmes et collecter des renseignements sur les machines infectées. Cette plate-forme est spécifique à Rocra et n’avait pas encore été identifiée par Kaspersky Lab dans de précédentes campagnes de cyberespionnage.

Parmi ses caractéristiques notables :

  • Module de «résurrection» : ce module original permet de «ressusciter» les machines infectées. Intégré sous forme de plug-in dans les installations Adobe Reader et Microsoft Office, il offre aux auteurs des attaques un moyen infaillible d’accéder de nouveau à un système cible si le composant principal du malware est découvert et éliminé ou si un correctif est appliqué. Une fois que le dispositif C&C est redevenu opérationnel, les pirates envoient par e-mail aux machines visées un document spécial (PDF ou Office) dans le but de réactiver le malware.
  • Modules d’espionnage cryptographique avancé : ces modules d’espionnage ont principalement pour objectif le vol d’informations, notamment des fichiers issus de différents systèmes cryptographiques, tels que Acid Cryptofiler qui est notoirement utilisé depuis l’été 2011 pour la protection d’informations sensibles au sein de l’OTAN, de l’Union européenne, du Parlement européen et de la Commission européenne.
  • Terminaux mobiles : en dehors des postes de travail classique, le malware est également capable de dérober des données sur des mobiles, notamment des smartphones (iPhone, Nokia et Windows Mobile). Il peut aussi récupérer des informations de configuration sur des équipements réseau (routeurs, commutateurs), ainsi que dans des fichiers effacés sur des supports amovibles.

Identification des attaques : compte tenu des données d’enregistrement des serveurs C&C et des nombreux indices laissés dans les fichiers exécutables du malware, il existe de solides preuves techniques indiquant que les auteurs des attaques sont d’origine russophone. En outre, ces exécutables étaient inconnus jusqu’à une date récente et n’ont pas été identifiées par les experts de Kaspersky Lab au cours de l’analyse d’attaques précédentes de cyberespionnage.

Kaspersky Lab, en collaboration avec des organisations internationales, les pouvoirs publics et les équipes CERT (Computer Emergency Response Teams) poursuit ses investigations sur Rocra en apportant son expertise et ses ressources techniques dans le cadre des procédures de correction et de neutralisation.

Kaspersky Lab tient à exprimer sa gratitude aux équipes CERT aux Etats-Unis, en Roumanie et en Biélorussie pour leur concours à l’enquête.

Le malware Rocra est détecté, bloqué et neutralisé avec succès par les produits de Kaspersky Lab, sous la classification Backdoor.Win32.Sputnik.

Le rapport complet d’enquête établi par les experts de Kaspersky Lab est disponible sur le site Securelist.

Salle de presse virtuelle Kaspersky Lab

Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu). Destinée à l’ensemble des journalistes européens, celle-ci est spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la recherche d’informations sur l’entreprise et ses produits, de mettre à disposition des chiffres, des contenus éditoriaux, des images, des vidéos et des fichiers audio.

À propos de Kaspersky Lab

Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les particuliers*.

Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur le marché de la sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les particuliers, les PME et les grands comptes.

La société opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de 300 millions d'utilisateurs à travers le monde.

Pour en savoir plus www.kaspersky.com.

* La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2010. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 2011-2015 Prévisions et parts de marché des fournisseurs 2010 – décembre 2011. Le rapport classe les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2010.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com