L’objectif des attaquants est de voler des informations sensibles. Jusqu’ici, ils ont déjà réussi à récupérer plusieurs gigaoctets de données confidentielles.

Une attaque peu sophistiquée mais efficace qui a touché 778 victimes dans le monde

Les éléments relevés indiquent que la campagne Machete a débuté en 2010 avant d’être mise à jour avec de nouvelles infrastructures en 2012. Les attaquants ont utilisé des techniques d’ingénierie sociale pour assurer la propagation du malware. Dans certains cas, ils ont utilisé des messages de spear-phishing associés à des infections Web menées depuis des faux blogs créés pour l’occasion. Actuellement, aucun exploit de type zero-day ne semble avoir été utilisé. Les éléments techniques relevés durant la campagne (outils de cyber espionnage, codes client) sont peu sophistiqués par rapport à d’autres APT (attaques ciblées). En dépit de cette simplicité, les experts de Kaspersky Lab ont identifié 778 victimes dans le monde.

Origine géographique

D’après les indices repérés par Kaspersky Lab durant son enquête, les attaquants parlent l’espagnol et possèdent des origines quelque part en Amérique Latine. Les cibles étaient principalement situées en Amérique Latine. Lorsque ce n’était pas le cas, elles étaient liées d’une façon ou d’une autre à la région. Par exemple, la cible identifiée en Russie semble être l’ambassade d’un pays d’Amérique Latine.

Techniques de cyber espionnage

L’outil de cyber espionnage découvert sur les ordinateurs infectés est capable de réaliser différentes fonctions et opérations, comme par exemple copier des fichiers vers un serveur distant ou un appareil USB spécifique, récupérer le contenu du presse-papier, enregistrer chaque frappe, capturer les enregistrements audio / microphone, réaliser des captures d’écran, récupérer des données de géolocalisation ou encore prendre des photos avec la caméra web des ordinateurs infectés.

La campagne Machete a une spécificité inhabituelle : l’utilisation du langage Python compilé dans des fichiers d’exécution Windows. Cela n’offre aucun avantage aux attaquants au-delà d’une plus grande simplicité au niveau du code. Les outils ne semblent pas être compatibles avec différentes plates-formes, car le code est spécifique à l’environnement Windows. Cependant, des experts en sécurité ont découvert plusieurs indices suggérant que les criminels ont préparé des infrastructures similaires pour viser des utilisateurs OSX et Unix. D’autre part, des éléments mobiles pour Android ont également été retrouvés.

Les produits Kaspersky Lab identifient cette attaque et sont à même de protéger les utilisateurs.

« En dépit de l’utilisation d’outils assez sommaires par les cyber criminels, les résultats sont impressionnants. Il semblerait que les attaquants en Amérique Latine aient choisi d’utiliser des menaces APT, à l’image d’autres grandes campagnes observées ailleurs dans le monde. Nous nous attendons maintenant à découvrir des attaques de plus en plus sophistiquées au niveau technologique et il est probable que les nouvelles attaques APT lancées au niveau local seront similaires aux campagnes de grande envergure menées par des experts internationaux. En Amérique Latine, il va maintenant devenir essentiel d’avoir une vision globale de la cyber sécurité », explique Dmitry Bestuzhev, directeur de l’équipe de recherche et d’analyse globale de Kaspersky Lab pour l’Amérique Latine.