Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le groupe de cyber-espionnage ‘Darkhotel’ renforce ses attaques grâce à des fichiers provenant de Hacking Team

août 2015 par Kaspersky Lab

Il y a quelques semaines, l’entreprise Hacking Team, connue pour vendre des ‘spyware’ légaux à certains gouvernements et agences en charge de l’application de la loi, était victime d’une fuite de données.

Depuis, plusieurs groupes spécialisés dans le cyber-espionnage ont commencé à utiliser, pour leur propre compte, les outils que Hacking Team mettait à disposition de ses clients pour réaliser des attaques. Ces outils incluent des exploits ciblant Adobe Flash Player et Windows OS. Au moins l’un d’entre eux a été utilisé par le puissant groupe “Darkhotel”.

Kaspersky Lab a découvert que “Darkhotel”, un groupe de cyber-espions d’élite dont ses chercheurs en sécurité ont dévoilé l’existence en 2014 et qui est connu pour avoir infiltré les réseaux Wi-Fi de luxueux hôtels dans le but de compromettre des dirigeants d’entreprises ciblés, utilise une vulnérabilité zero-day provenant de la collection de Hacking Team depuis début juillet 2015. C’est à cette période, le 5 juillet précisément, qu’a eu lieu la fuite de données de Hacking Team. N’étant pas connu comme un client de Hacking Team, le groupe Darkhotel semble s’être emparé des fichiers lors de leur divulgation publique.

Ce n’est pas la seule vulnérabilité zero-day de Darkhotel ; Kaspersky Lab estime qu’au cours des dernières années, ils ont pu utiliser une demi-douzaine, voire plus, de ces vulnérabilités visant Adobe Flash Player, investissant apparemment de larges sommes d’argent pour construire leur arsenal. En 2015, le groupe Darkhotel a étendu son influence géographique à travers le monde tout en continuant d’utiliser le spear phishing contre ses cibles en Corée du Nord et du Sud, Russie, Japon, Bangladesh, Thaïlande, Inde, Mozambique et Allemagne.

Assistance collatérale de Hacking Team

Les experts en sécurité de Kaspersky Lab ont noté l’utilisation de nouvelles techniques et activités de la part de Darkhotel, une menace avancée persistante (APT) connue et active depuis près de 8 ans. Lors des attaques perpétrées en 2014 et par le passé, le groupe a utilisé de façon abusive des certificats code-signing et employé des méthodes inhabituelles, comme la compromission de réseaux Wi-Fi dans les hôtels, pour placer des outils d’espionnage sur les systèmes de ses cibles. En 2015, un grand nombre de ces techniques et activités a perduré, mais Kaspersky Lab a également découvert de nouvelles variantes de fichiers exécutables malicieux, l’utilisation continue de certificats volés, des techniques d’ingénierie sociale d’usurpation et le déploiement de la vulnérabilité zero-day provenant de Hacking Team :

· Utilisation continue de certificats volés : le groupe Darkhotel semble disposer d’un large stock de certificats dérobés et déploie les downloaders ainsi que les backdoors signés par ces certificats pour piéger les systèmes des victimes. Certains des certificats révoqués les plus récents incluent Xuchang Hongguang Technology Co. Ltd. – l’entreprise dont les certificats ont été utilisés dans des attaques précédentes réalisées par le groupe.

· Spear phishing ininterrompu : l’APT Darkhotel est effectivement persistante. Cette menace utilise le spear phishing contre ses cibles et, lorsque l’attaque échoue, revient plusieurs mois plus tard faire une nouvelle tentative utilisant les mêmes schémas d’ingénierie sociale.

· Déploiement de l’exploit zero-day de Hacking Team : le site web compromis, tisone360.com, contient plusieurs backdoors et exploits. Le plus intéressant d’entre eux est la vulnérabilité Flash zero-day de Hacking Team.

« Darkhotel est de retour avec un nouvel exploit Adobe Flash Player hébergé sur un site Web compromis, et il semblerait bien provenir de la fuite de données qu’a connue Hacking Team. Le groupe avait auparavant utilisé un autre exploit Flash sur le même site Web, qui a été signalé à Adobe comme un zero-day en Janvier 2014. Il semblerait que Darkhotel ait usé d’un grand nombre de zero-day Flash et half-day exploits au cours des dernières années, et ils ont pu vouloir en garder d’autres en réserve pour réaliser des attaques précises sur des individus à haut-profil au niveau mondial. De précédentes attaques nous ont appris que Darkhotel espionne les CEOs, senior vice-présidents, directeurs marketing ou commerciaux et de hauts-responsables en R&D, » explique Kurt Baumgartner, chercheur principal en sécurité chez Kaspersky Lab.

Depuis l’année dernière, le groupe a travaillé dur pour améliorer ses techniques défensives, en enrichissant par exemple sa liste de technologies anti-détection. La version 2015 du downloader Darkhotel est conçue pour identifier les technologies anti-virus de 27 éditeurs, dans le but de pouvoir les contourner.




Voir les articles précédents

    

Voir les articles suivants