COMMUNIQUÉ DE PRESSE - Kaspersky Lab – Newsroom Europe.
Transcription
COMMUNIQUÉ DE PRESSE - Kaspersky Lab – Newsroom Europe.
COMMUNIQUÉ DE PRESSE Kaspersky Lab identifie MiniDuke, un nouveau programme malveillant conçu pour espionner de multiples entités gouvernementales et institutions à travers le monde De nouveaux acteurs sur la scène des cybermenaces allient des compétences « de la vieille école », en matière de programmation de malware, à l’exploitation de failles récentes dans Adobe Reader afin de recueillir des renseignements géopolitiques auprès de cibles de haut niveau Rueil Malmaison, le 27 février 2013 – L’équipe d’experts de Kaspersky Lab publie aujourd’hui une nouvelle étude consacrée à une série d’incidents exploitant une faille du format PDF récemment découverte dans Adobe Reader (CVE-2013-6040), en combinaison avec un nouveau programme malveillant extrêmement personnalisé, dénommé MiniDuke. Cette « backdoor » a servi à attaquer de multiples entités gouvernementales et institutions à travers le monde au cours de la semaine dernière. Les experts de Kaspersky Lab, en partenariat avec CrySys Lab, ont analysé les attaques en détail et rendent publiques leurs observations. Selon l’enquête de Kaspersky Lab, MiniDuke a déjà fait un certain nombre de victimes de haut niveau, notamment des entités gouvernementales dans divers pays (Ukraine, Belgique, Portugal, Roumanie, République tchèque, Irlande). Par ailleurs, un institut de recherche, deux « think tanks »et un prestataire de santé aux Etats-Unis ont également été visés, de même qu’une éminente fondation de recherche en Hongrie. « Il s’agit là d’une cyberattaque très inhabituelle », souligne Eugene Kaspersky, fondateur et CEO de Kaspersky Lab. « Cela me rappelle une typologie de programmes malveillants de la fin des années 1990 ou du début des années 2000. C’est à se demander si leurs auteurs ne se seraient pas soudainement réveillés après une période d’hibernation de plus de dix ans, afin de faire leur entrée sur la scène des cybermenaces évoluées. Ces programmeurs d’élite “de la vieille école” ont fait preuve par le passé d’une extrême efficacité dans la création de virus très complexes et allient aujourd’hui ces compétences avec les dernières techniques d'évasion de sandbox, afin de cibler des entités gouvernementales ou des établissements de recherche dans plusieurs pays. » « La « backdoor » extrêmement personnalisée de MiniDuke est programmée en langage assembleur, et très petite, soit à peine 20 Ko », précise Eugene Kaspersky. « L’association de programmeurs chevronnés, exploitant des failles récemment découvertes et d’astucieuses techniques de “social engineering” pour s’attaquer à des cibles de haut niveau, présente un danger extrême. » Page 1 Principaux résultats de l’étude de Kaspersky Lab : • Les auteurs des attaques MiniDuke sont toujours actifs à l’heure actuelle et ont encore créé des malwares à une date aussi récente que le 20 février 2013. Pour s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering” extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« sandbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique. • Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrit en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares. • Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF. Page 2 • D’après l’analyse, il semble que les créateurs de MiniDuke recourent à un système dynamique de rechange qui peut également lui permettre « d’échapper aux radars ». Si Twitter ne fonctionne pas ou que les comptes ne sont pas disponibles, le malware peut lancer une recherche Google afin de trouver les chaînes cryptées sur le serveur C&C le plus proche. Grâce à ce modèle d’une grande souplesse, les agresseurs peuvent changer constamment le mode de récupération des commandes ou du code malveillant par leurs backdoors, si nécessaire. • Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptées, dissimulées sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour une backdoor plus volumineuse qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware. • La backdoor se connecte à deux serveurs, l’un au Panama, l’autre en Turquie, afin de recevoir les instructions des auteurs des attaques. Pour prendre connaissance de l’intégralité de l’étude de Kaspersky Lab et de conseils pour se protéger des attaques MiniDuke, consultez le site Securelist. Le rapport de CrySys Lab est disponible ici. Les logiciels de Kaspersky Lab détectent et neutralisent le malware MiniDuke, sous la classification HEUR:Backdoor.Win32.MiniDuke.gen et Backdoor.Win32.Miniduke. Les failles exploitées dans les documents PDF sont également détectées sous la classification Exploit.JS.Pdfka.giy. Page 3 À propos de Kaspersky Lab Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les particuliers*. Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur le marché de la sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les particuliers, les PME et les grands comptes. Kaspersky Lab opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de 300 millions d'utilisateurs à travers le monde. Pour en savoir plus www.kaspersky.com. *La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2011. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 20122016 Forecast et parts de marché des fournisseurs 2011 (IDC #235930, Juillet 2012). Le rapport classe les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2011. Pour plus d’information : visitez la salle de presse virtuelle Kaspersky Lab qui met à votre disposition des chiffres, des contenus http://newsroom.kaspersky.eu éditoriaux, des images, des vidéos et des fichiers audio. Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.fr Pour plus d’informations sur l’actualité virale : http://www.securelist.com Suivez nous sur les réseaux sociaux ! Contacts presse : Agence onechocolate Edouard Fleuriau Chateau / Morgane Rybka [email protected] ; [email protected] Tél. +33 1 41 3 75 16/06 © 2013 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre technique ou éditorial pouvant exister dans ce document. Page 4