COMMUNIQUÉ DE PRESSE - Kaspersky Lab – Newsroom Europe.

COMMUNIQUÉ DE PRESSE
Kaspersky Lab identifie MiniDuke, un nouveau programme
malveillant conçu pour espionner de multiples entités
gouvernementales et institutions à travers le monde
De nouveaux acteurs sur la scène des cybermenaces allient des compétences «
de la vieille école », en matière de programmation de malware, à l’exploitation de
failles récentes dans Adobe Reader afin de recueillir des renseignements
géopolitiques auprès de cibles de haut niveau
Rueil Malmaison, le 27 février 2013 – L’équipe d’experts de Kaspersky Lab publie
aujourd’hui une nouvelle étude consacrée à une série d’incidents exploitant une faille
du format PDF récemment découverte dans Adobe Reader (CVE-2013-6040), en
combinaison avec un nouveau programme malveillant extrêmement personnalisé,
dénommé MiniDuke. Cette « backdoor » a servi à attaquer de multiples entités
gouvernementales et institutions à travers le monde au cours de la semaine dernière.
Les experts de Kaspersky Lab, en partenariat avec CrySys Lab, ont analysé les
attaques en détail et rendent publiques leurs observations.
Selon l’enquête de Kaspersky Lab, MiniDuke a déjà fait un certain nombre de victimes
de haut niveau, notamment des entités gouvernementales dans divers pays (Ukraine,
Belgique, Portugal, Roumanie, République tchèque, Irlande). Par ailleurs, un institut de
recherche, deux « think tanks »et un prestataire de santé aux Etats-Unis ont également
été visés, de même qu’une éminente fondation de recherche en Hongrie.
« Il s’agit là d’une cyberattaque très inhabituelle », souligne Eugene Kaspersky,
fondateur et CEO de Kaspersky Lab. « Cela me rappelle une typologie de programmes
malveillants de la fin des années 1990 ou du début des années 2000. C’est à se
demander si leurs auteurs ne se seraient pas soudainement réveillés après une période
d’hibernation de plus de dix ans, afin de faire leur entrée sur la scène des
cybermenaces évoluées. Ces programmeurs d’élite “de la vieille école” ont fait preuve
par le passé d’une extrême efficacité dans la création de virus très complexes et allient
aujourd’hui ces compétences avec les dernières techniques d'évasion de sandbox, afin
de cibler des entités gouvernementales ou des établissements de recherche dans
plusieurs pays. »
« La « backdoor » extrêmement personnalisée de MiniDuke est programmée en
langage assembleur, et très petite, soit à peine 20 Ko », précise Eugene Kaspersky. «
L’association de programmeurs chevronnés, exploitant des failles récemment
découvertes et d’astucieuses techniques de “social engineering” pour s’attaquer à des
cibles de haut niveau, présente un danger extrême. »
Page 1
Principaux résultats de l’étude de Kaspersky Lab :
• Les auteurs des attaques MiniDuke sont toujours actifs à l’heure actuelle et ont
encore créé des malwares à une date aussi récente que le 20 février 2013. Pour
s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering”
extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF
infectés. Ces documents paraissent de prime abord légitimes, avec un contenu
soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le
cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion
à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans
Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« sandbox
»). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de
la récente attaque signalée par FireEye. Cependant, les failles exploitées par les
attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé
spécifique.
• Une fois le système infiltré, un programme de téléchargement très compact (20
Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à
chaque système et contient une backdoor personnalisée, écrit en assembleur.
Une fois chargé au démarrage du système, il réalise une série de calculs
mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information
dont il se servira par la suite pour crypter ses communications. Le downloader est
également programmé pour échapper aux analyses opérées par les outils
intégrés à certains environnements, tels que VMware. S’il détecte leur présence,
il se met en sommeil au sein de l’environnement au lieu de passer à l’étape
suivante et de démasquer ses autres fonctionnalités. Cela indique que ses
auteurs connaissent exactement les techniques mises en œuvre par les
professionnels de la protection antivirus et de la sécurité informatique pour
analyser et identifier les malwares.
• Si le système cible répond à des conditions prédéfinies, le malware se connecte
à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés
préalablement par les opérateurs de commande et de contrôle (C&C) de
MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux
backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent
ensuite d’éventuelles commandes et transmissions cryptées de backdoors
supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.
Page 2
• D’après l’analyse, il semble que les créateurs de MiniDuke recourent à un
système dynamique de rechange qui peut également lui permettre « d’échapper
aux radars ». Si Twitter ne fonctionne pas ou que les comptes ne sont pas
disponibles, le malware peut lancer une recherche Google afin de trouver les
chaînes cryptées sur le serveur C&C le plus proche. Grâce à ce modèle d’une
grande souplesse, les agresseurs peuvent changer constamment le mode de
récupération des commandes ou du code malveillant par leurs backdoors, si
nécessaire.
• Une fois que le système infecté a localisé le serveur C&C, il reçoit des
backdoors cryptées, dissimulées sous forme d’images dans des fichiers GIF qui
se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour
une backdoor plus volumineuse qui effectue plusieurs opérations élémentaires :
copie, déplacement ou suppression de fichier, création de répertoire, terminaison
de processus et, bien entendu, téléchargement et exécution de nouveau
malware.
• La backdoor se connecte à deux serveurs, l’un au Panama, l’autre en Turquie,
afin de recevoir les instructions des auteurs des attaques.
Pour prendre connaissance de l’intégralité de l’étude de Kaspersky Lab et de conseils
pour se protéger des attaques MiniDuke, consultez le site Securelist.
Le rapport de CrySys Lab est disponible ici.
Les logiciels de Kaspersky Lab détectent et neutralisent le malware MiniDuke, sous la
classification HEUR:Backdoor.Win32.MiniDuke.gen et Backdoor.Win32.Miniduke. Les failles
exploitées dans les documents PDF sont également détectées sous la classification
Exploit.JS.Pdfka.giy.
Page 3
À propos de Kaspersky Lab
Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La
société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les
particuliers*.
Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur le marché de la
sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les particuliers, les PME
et les grands comptes.
Kaspersky Lab opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de
300 millions d'utilisateurs à travers le monde.
Pour en savoir plus www.kaspersky.com.
*La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue
by Vendor, 2011. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 20122016 Forecast et parts de marché des fournisseurs 2011 (IDC #235930, Juillet 2012). Le rapport classe les
éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2011.
Pour plus d’information : visitez la salle de presse virtuelle Kaspersky Lab qui met à votre disposition
des chiffres, des contenus
http://newsroom.kaspersky.eu
éditoriaux,
des
images,
des
vidéos
et
des
fichiers
audio.
Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.fr
Pour plus d’informations sur l’actualité virale : http://www.securelist.com
Suivez nous sur les réseaux sociaux !
Contacts presse :
Agence onechocolate
Edouard Fleuriau Chateau / Morgane Rybka
[email protected] ;
[email protected]
Tél. +33 1 41 3 75 16/06
© 2013 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules
garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent
lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant
une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre
technique ou éditorial pouvant exister dans ce document.
Page 4