COMMUNIQUÉ DE PRESSE - Kaspersky Lab – Newsroom Europe.
Transcription
COMMUNIQUÉ DE PRESSE Kaspersky Lab identifie l’opération «Red October», une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde Ces attaques s’appuient sur des malwares spécifiques, agiles, capables de dérober des données et des renseignements géopolitiques sur les systèmes informatiques, téléphones mobiles et équipements réseau des victimes Rueil-Malmaison, le 14 janvier 2012 - Kaspersky Lab publie aujourd’hui une nouvelle étude identifiant une campagne de cyberespionnage visant des représentations diplomatiques, des administrations et des organismes de recherche scientifique dans plusieurs pays depuis au moins cinq ans. Les cibles de cette campagne sont essentiellement des pays d’Europe de l’Est, des républiques de l’ex-URSS ou encore des pays du Moyen-Orient, même si les victimes peuvent se trouver partout, y compris en Europe occidentale et en Amérique du Nord. Les attaques ont pour principal objectif de collecter, au sein des organisations touchées, des documents confidentiels renfermant des renseignements géopolitiques, des codes d’accès à des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des équipements réseau. En octobre 2012, l’équipe d’experts de Kaspersky Lab a entrepris une enquête à la suite d’une série d’attaques contre des réseaux informatiques ciblant des services diplomatiques internationaux. L’enquête a permis de mettre à jour et d’analyser un réseau de cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l’opération «Red October» (ou, en abrégé «Rocra») qui aurait débutée en 2007 se poursuit encore en janvier 2013. Principaux résultats de l’enquête Red October, un réseau évolué de cyberespionnage : les attaques, actives depuis au moins 2007, se concentrent sur les représentations diplomatiques et les administrations de divers pays à travers le monde, mais aussi sur des organismes de recherche, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l’aéronautique. Leurs auteurs ont conçu un malware spécifique, identifié sous l’appellation «Rocra», qui possède sa propre architecture modulaire comprenant des extensions malveillantes, des modules destinés à dérober des informations et des chevaux de Troie de type «backdoor». Les pirates ont souvent exploité des informations obtenues sur les réseaux infectés pour s’introduire dans d’autres systèmes. Par exemple, des identifiants volés ont été collectés et utilisés dans le cadre d’attaques pour découvrir des mots de passe donnant accès à ces systèmes. Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays, dont la majorité en Allemagne et en Russie. L’analyse par Kaspersky Lab de l’infrastructure de commande et de contrôle (C&C) de Rocra révèle que la chaîne de serveurs opère telle une série de proxies afin de masquer l’adresse réelle du serveur principal. Page 1 Les informations dérobées sur les systèmes infectés se trouvent dans des documents présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particulier, les extensions «acid*» paraissent correspondre à des fichiers du logiciel cryptographique «Acid Cryptofiler», utilisé par plusieurs entités allant de l’Union européenne à l’OTAN. Processus d’infection des victimes L’infection de systèmes lors d’une attaque passe par l’envoi aux victimes d’un e-mail ciblé de type «spear phishing» (harponnage) contenant un cheval de Troie personnalisé (dropper). Pour installer le malware et infecter le système, l’e-mail malveillant exploite spécifiquement des failles de sécurité dans Microsoft Office et Microsoft Excel. Cette technique a déjà été employée au cours de différentes cyberattaques, menées notamment contre des militants tibétains ou des cibles dans le secteur de la défense et de l’énergie en Asie. La seule différence réside dans le code de l’exécutable utilisé par Rocra. En particulier, l’une des commandes du cheval de Troie active par défaut, pour la session d’invite de commande, la page de code 1251, nécessaire pour la restitution des polices de caractères cyrilliques. Victimes et entités ciblées Les experts de Kaspersky Lab ont appliqué deux méthodes pour analyser les cibles. En premier lieu, ils ont exploité les statistiques de détection du réseau Kaspersky Security Network (KSN), le service cloud de sécurité auquel font appel les produits de Kaspersky Lab afin d’effectuer des mesures à distance et d’offrir une protection évoluée contre les menaces sous la forme de listes noires et de règles heuristiques. KSN a détecté le code malveillant dès 2011, ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à Rocra. La deuxième méthode mise en œuvre a consisté à créer un sinkhole (serveur appât) de façon à pouvoir surveiller les connexions des machines infectées aux serveurs C&C de Rocra. Les données reçues pendant l’analyse par l’une et l’autre méthode ont fourni des bases indépendantes de corrélation et de confirmation des résultats. Statistiques KSN : plusieurs centaines de systèmes infectés distincts ont été détectés par les données de KSN, se situant essentiellement dans des ambassades, des réseaux et des organismes gouvernementaux, des instituts de recherche scientifique et des consulats. Selon ces observations, la majeure partie se trouve en Europe de l’Est, mais d’autres infections ont été également identifiées en Amérique du Nord et dans des pays d’Europe occidentale, par exemple la Suisse et le Luxembourg. Statistiques du sinkhole : l’analyse du serveur appât de Kaspersky Lab s’est déroulée du 2 novembre 2012 au 10 janvier 2013. Durant de cette période, plus de 55 000 connexions provenant de 250 adresses IP infectées ont été enregistrés dans 39 pays, en majorité originaires de la Suisse, suivie du Kazakhstan et de la Grèce. Le malware Rocra : une architecture et des fonctionnalités spécifiques Les pirates ont créé une plate-forme d’attaque multifonction regroupant plusieurs extensions et fichiers malveillants conçus pour s’adapter rapidement à différentes configurations de systèmes et collecter des renseignements sur les machines infectées. Cette plate-forme est spécifique à Rocra et n’avait pas encore été identifiée par Kaspersky Lab dans de précédentes campagnes de cyberespionnage. Parmi ses caractéristiques notables : Page 2 Module de «résurrection» : ce module original permet de «ressusciter» les machines infectées. Intégré sous forme de plug-in dans les installations Adobe Reader et Microsoft Office, il offre aux auteurs des attaques un moyen infaillible d’accéder de nouveau à un système cible si le composant principal du malware est découvert et éliminé ou si un correctif est appliqué. Une fois que le dispositif C&C est redevenu opérationnel, les pirates envoient par e-mail aux machines visées un document spécial (PDF ou Office) dans le but de réactiver le malware. Modules d’espionnage cryptographique avancé : ces modules d’espionnage ont principalement pour objectif le vol d’informations, notamment des fichiers issus de différents systèmes cryptographiques, tels que Acid Cryptofiler qui est notoirement utilisé depuis l’été 2011 pour la protection d’informations sensibles au sein de l’OTAN, de l’Union européenne, du Parlement européen et de la Commission européenne. Terminaux mobiles : en dehors des postes de travail classique, le malware est également capable de dérober des données sur des mobiles, notamment des smartphones (iPhone, Nokia et Windows Mobile). Il peut aussi récupérer des informations de configuration sur des équipements réseau (routeurs, commutateurs), ainsi que dans des fichiers effacés sur des supports amovibles. Identification des attaques : compte tenu des données d’enregistrement des serveurs C&C et des nombreux indices laissés dans les fichiers exécutables du malware, il existe de solides preuves techniques indiquant que les auteurs des attaques sont d’origine russophone. En outre, ces exécutables étaient inconnus jusqu’à une date récente et n’ont pas été identifiées par les experts de Kaspersky Lab au cours de l’analyse d’attaques précédentes de cyberespionnage. Kaspersky Lab, en collaboration avec des organisations internationales, les pouvoirs publics et les équipes CERT (Computer Emergency Response Teams) poursuit ses investigations sur Rocra en apportant son expertise et ses ressources techniques dans le cadre des procédures de correction et de neutralisation. Kaspersky Lab tient à exprimer sa gratitude aux équipes CERT aux Etats-Unis, en Roumanie et en Biélorussie pour leur concours à l’enquête. Le malware Rocra est détecté, bloqué et neutralisé avec succès par les produits de Kaspersky Lab, sous la classification Backdoor.Win32.Sputnik. Le rapport complet d’enquête établi par les experts de Kaspersky Lab est disponible sur le site Securelist. Page 3 Salle de presse virtuelle Kaspersky Lab Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu). Destinée à l’ensemble des journalistes européens, celle-ci est spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la recherche d’informations sur l’entreprise et ses produits, de mettre à disposition des chiffres, des contenus éditoriaux, des images, des vidéos et des fichiers audio. À propos de Kaspersky Lab Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les particuliers*. Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur le marché de la sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les particuliers, les PME et les grands comptes. La société opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de 300 millions d'utilisateurs à travers le monde. Pour en savoir plus www.kaspersky.com. * La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2010. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 20112015 Prévisions et parts de marché des fournisseurs 2010 – décembre 2011. Le rapport classe les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2010. Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.fr Pour plus d’informations sur l’actualité virale : http://www.securelist.com Suivez nous sur les réseaux sociaux ! Contacts presse : Agence onechocolate Edouard Fleuriau Chateau / Morgane Rybka [email protected] ; [email protected] Tél. +33 1 41 3 75 16/06 © 2012 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre technique ou éditorial pouvant exister dans ce document. Page 4
Documents pareils
COMMUNIQUÉ DE PRESSE - Kaspersky Lab – Newsroom Europe.
Les technologies développées par Kaspersky Lab assurent la protection contre les programmes malveillants et la sécurité totale des informations, qu’elles soient stockées sur serveurs, postes de tr...
Plus en détailMalware in July: Cybercriminals Switch to Payments in Frequent
Pour plus d’informations sur l’actualité virale : http://www.viruslist.fr Contacts presse : Agence onechocolate communication Joëlle Rousseau ; Julie Verburg [email protected] Juliev@one...
Plus en détailKaspersky Article Safer Surfin@Christmas Vacation
Pour plus d’informations sur l’actualité virale : http://www.viruslist.fr
Plus en détailKaspersky
Kaspersky Endpoint Security 8 pour Windows est un ensemble de modules de protection qui tire partie de l’expertise de nos chercheurs en lutte contre les logiciels malveillants. Il offre continuelle...
Plus en détail