Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab identifie MiniDuke, un nouveau programme malveillant conçu pour espionner de multiples entités gouvernementales et institutions à travers le monde

février 2013 par Kaspersky Lab

L’équipe d’experts de Kaspersky Lab publie une nouvelle étude consacrée à une série d’incidents exploitant une faille du format PDF récemment découverte dans Adobe Reader (CVE-2013-6040), en combinaison avec un nouveau programme malveillant extrêmement personnalisé, dénommé MiniDuke. Cette « backdoor » a servi à attaquer de multiples entités gouvernementales et institutions à travers le monde au cours de la semaine dernière. Les experts de Kaspersky Lab, en partenariat avec CrySys Lab, ont analysé les attaques en détail et rendent publiques leurs observations.

Selon l’enquête de Kaspersky Lab, MiniDuke a déjà fait un certain nombre de victimes de haut niveau, notamment des entités gouvernementales dans divers pays (Ukraine, Belgique, Portugal, Roumanie, République tchèque, Irlande). Par ailleurs, un institut de recherche, deux « think tanks »et un prestataire de santé aux Etats-Unis ont également été visés, de même qu’une éminente fondation de recherche en Hongrie.

« Il s’agit là d’une cyberattaque très inhabituelle », souligne Eugene Kaspersky, fondateur et CEO de Kaspersky Lab. « Cela me rappelle une typologie de programmes malveillants de la fin des années 1990 ou du début des années 2000. C’est à se demander si leurs auteurs ne se seraient pas soudainement réveillés après une période d’hibernation de plus de dix ans, afin de faire leur entrée sur la scène des cybermenaces évoluées. Ces programmeurs d’élite "de la vieille école" ont fait preuve par le passé d’une extrême efficacité dans la création de virus très complexes et allient aujourd’hui ces compétences avec les dernières techniques d’évasion de sandbox, afin de cibler des entités gouvernementales ou des établissements de recherche dans plusieurs pays. »

« La « backdoor » extrêmement personnalisée de MiniDuke est programmée en langage assembleur, et très petite, soit à peine 20 Ko », précise Eugene Kaspersky. « L’association de programmeurs chevronnés, exploitant des failles récemment découvertes et d’astucieuses techniques de "social engineering" pour s’attaquer à des cibles de haut niveau, présente un danger extrême. »

Principaux résultats de l’étude de Kaspersky Lab :

 Les auteurs des attaques MiniDuke sont toujours actifs à l’heure actuelle et ont encore créé des malwares à une date aussi récente que le 20 février 2013. Pour s’attaquer à leurs victimes, ils font appel à des techniques de "social engineering" extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« sandbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique.

 Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrit en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares.Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.

 D’après l’analyse, il semble que les créateurs de MiniDuke recourent à un système dynamique de rechange qui peut également lui permettre « d’échapper aux radars ». Si Twitter ne fonctionne pas ou que les comptes ne sont pas disponibles, le malware peut lancer une recherche Google afin de trouver les chaînes cryptées sur le serveur C&C le plus proche. Grâce à ce modèle d’une grande souplesse, les agresseurs peuvent changer constamment le mode de récupération des commandes ou du code malveillant par leurs backdoors, si nécessaire.

 Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptées, dissimulées sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour une backdoor plus volumineuse qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware.

 La backdoor se connecte à deux serveurs, l’un au Panama, l’autre en Turquie, afin de recevoir les instructions des auteurs des attaques.


Voir les articles précédents

    

Voir les articles suivants