Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

D’Agent.BTZ à ComRAT, 7 ans d’évolution du programme de cyber-espionnage

janvier 2015 par G DATA

Les cyberattaques ciblant les institutions gouvernementales, les grandes entreprises ou les organisations internationales ont pris de l’ampleur ces dernières années. G DATA a analysé 7 ans d‘évolution de l‘Agent.BTZ, l’une des armes de ces attaques. Détecté pour la première fois en 2008 dans une attaque ciblant le Pentagone américain, il a également éte utilisé en 2014 dans la campagne d’espionnage Uroburos.

En novembre 2014, G DATA mettait à jour la campagne d’attaque Uroburos. Celle-ci avait touché de nombreuses institutions dont notamment les ministères des affaires étrangères belge et finlandais. De cette attaque ont suivi la découverte et l’analyse détaillée d’Agent.BTZ, successeur de ComRAT. Les experts du G DATA SecurityLabs ont passé au crible Agent.BTZ et ComRAT – au total 46 échantillons différents provenant d’une période de sept ans ont été analysés.

Des évolutions constantes

Jusqu’à la version 3.00, détectée en 2012, des changements mineurs avaient été réalisés dans le logiciel. Ceux-ci se cantonnent à des adaptations liées aux nouvelles versions de Windows, des erreurs de programmation et de nouvelles méthodes de dissimulation. L’arrivée de la version 3.00 est une rupture et à impliqué un changement d’appellation. De nombreuses améliorations sont intégrées, notamment au niveau du mécanisme d’infection et de la communication avec les serveurs de commandes (C&C). Agent.BTZ devient alors ComRAT.

Les analystes G DATA sont certains que le groupe derrière Uroburos, Agent.BTZ et ComRAT va continuer à être actif dans le domaine du malware et de l’APT (Advanced Persistent Threat). D’autres éléments laissent à penser que d’autres attaques sont à attendre.

L’analyse détaillée et en français du programme d’espionnage est décrite ici : https://www.gdata.fr/security-labs/...




Voir les articles précédents

    

Voir les articles suivants