Kaspersky identifie une attaque visant les Etats-Unis
avril 2015 par Kaspersky
L’équipe de recherche et d’analyse de Kaspersky Lab a publié aujourd’hui un rapport décrivant un nouveau cyber espion aux techniques avancées, qui s’attaque aux Etats-Unis en ciblant potentiellement la Maison Blanche et le Département d’Etat. Ce nouvel acteur a été baptisé CozyDuke.
En plus des cibles et victimes aux profils particulièrement sensibles, cette opération présente d’autres aspects particulièrement alarmants. Par exemple :
• Des fonctionnalités crypto et anti-détection (le code recherche plusieurs produits de sécurité afin de les éviter : Kaspersky Lab, Sophos, DrWeb, Avira, Crystal, Comodo Dragon)
• Des programmes malicieux puissants
• Les outils utilisés par cette campagne présentent des éléments de structure similaires à ceux des campagnes de cyber espionnage MiniDuke, CosmicDuke et OnionDuke – dont les auteurs pourraient être Russophones selon certains indicateurs.
Fonctionnement : CozyDuke utilise souvent la technique du Spear Phishing en adressant à ses cibles des emails contenant un lien vers un site web infecté – y compris des sites critiques et légitimes comme ‘diplomacy.pl’ – qui héberge une archive ZIP contenant un malware. Dans d’autres cas qui se sont avérés fructueux, CozyDuke a envoyé de fausses vidéos en pièce jointe, contenant des fichiers exécutables malveillants.