Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le groupe Winnti responsable d’une plate forme d’attaque évoluée infectant des entreprises en Corée du Sud, au Royaume-Uni et en Russie

octobre 2015 par Kaspersky Lab

Les experts de Kaspersky Lab surveillant l’activité du groupe Winnti ont découvert une menace active reposant sur un programme d’installation bootkit datant de 2006. La menace, dénommée « HDRoot » par Kaspersky Lab – anciennement connu sous le nom d’origine « HDD Rootkit » - est une plate-forme universelle assurant une présence durable et persistante sur le système ciblé, servant ensuite de rampe de lancement pour n’importe quel outil malveillant.

L’organisation criminelle Winnti est connue pour des campagnes de cyberespionnage industriel visant des éditeurs de logiciels, en particulier dans le secteur des jeux. Récemment, certaines de ses attaques ont aussi été détectées contre des laboratoires pharmaceutiques.

« HDRoot » a été découvert lorsqu’un curieux échantillon de malware a éveillé l’intérêt de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab dont les raisons sont expliquées ci-dessous :

- Ce code malveillant était protégé par un exécutable commercial VMProtect Win64 signé par un certificat connu mais piraté, appartenant à l’entreprise chinoise Guangzhou YuanLuo Technology. Or le groupe Winntie est réputé avoir fait un usage abusif de ce certificat pour signer d’autres outils.
- Les propriétés de l’exécutable et le texte qu’il affiche ont été déguisés pour le faire passer pour Net Command de Microsoft (net.exe), de toute évidence afin de réduire le risque du démasquage du programme malveillant par les administrateurs système.

Ces deux indices cumulés ont rendu l’échantillon suffisamment suspect. Une analyse plus poussée a révélé que le bootkit HDRoot était une plate-forme universelle assurant une présence durable et persistante sur un système et pouvant servir de rampe de lancement pour n’importe quel outil malveillant. Les chercheurs du GReAT ont pu identifier deux types de backdoors déclenchés au moyen de cette plate-forme, et ce ne sont peut-être pas les seuls. L’une de ces portes dérobées a pu contourner des antivirus bien implantés en Corée du Sud : AhnLab V3 Lite et V3 365 Clinic ou encore ESTsoft ALYac. Winnti s’en est donc servi pour lancer des malwares sur les machines ciblées dans ce pays. Selon les données du réseau Kaspersky Security Network, la Corée du Sud est le principal centre d’intérêt du groupe Winntie dans le Sud-Est asiatique, aux côtés d’autres cibles de cette région du monde, notamment des entreprises au Japon, en Chine, au Bangladesh et en Indonésie. Kaspersky Lab a également détecté des infections HDRoot au sein d’une société britannique et une autre en Russie, toutes deux ayant déjà été visées précédemment par Winntie.

« L’objectif premier de toute menace persistante avancée (APT) est de ne pas se faire repérer par les radars et de rester tapie dans l’ombre. C’est pourquoi nous voyons rarement de cryptage compliqué de code, car cela attirerait l’attention. Le groupe Winntie a donc pris un risque, car il sait probablement d’expérience quels indices masquer et lesquels laisser, du fait que les entreprises n’appliquent pas en permanence toutes les meilleures règles de sécurité. Les administrateurs système doivent en effet s’occuper de nombreuses choses, et si leur équipe est restreinte, les chances que des activités cybercriminelles passent inaperçues sont d’autant plus grandes », commente Dmitry Tarakanov, chercheur senior en sécurité au sein de l’équipe GReAT de Kaspersky Lab.

Le développement de HDD Rootkit est vraisemblablement l’œuvre de quelqu’un qui a rejoint le groupe Winntie lors de sa création. Kaspersky Lab pense que ce groupe s’est formé en 2009 et qu’il n’existait par conséquent pas encore en 2006. Il est cependant possible que Winnti fasse appel à des logiciels extérieurs. Peut-être cet outil et son code source sont-ils disponibles sur le marché noir cybercriminel chinois ou autre. Quoi qu’il en soit, la menace est toujours active. Depuis que Kaspersky Lab a commencé à accumuler les détections, le groupe s’est mis à modifier ses attaques : en moins d’un mois, une nouvelle variante a été identifiée.




Voir les articles précédents

    

Voir les articles suivants