Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les experts de Kaspersky Lab analysent en profondeur l’infrastructure C&C de Flame

juin 2012 par Kaspersky

Le 28 mai dernier, Kaspersky Lab annonçait la découverte d’un programme malveillant extrêmement évolué, baptisé Flame et activement utilisé comme cyberarme pour attaquer des entités dans plusieurs pays. Ce malware a été découvert par les experts de Kaspersky Lab au cours d’une enquête déclenchée par l’Union internationale des télécommunications (UIT) et son analyse a révélé qu’il s’agit du kit d’outils d’attaque le plus complet et complexe à ce jour.

L’analyse de Kaspersky Lab a également déterminé que Flame est actuellement utilisé à des fins de cyberespionnage, dérobant sur les ordinateurs infectés des données et informations sensibles qui sont ensuite transmises à l’un des serveurs de commande et de contrôle (C&C) du malware.

Kaspersky Lab a surveillé de près l’infrastructure C&C de Flame et publie aujourd’hui une étude détaillée de ses observations.

En collaboration avec GoDaddy et OpenDNS, Kaspersky Lab est parvenu à détourner la plupart des domaines internet malveillants, employés par l’infrastructure C&C de Flame, vers ses propres serveurs pour analyser les connections (« sinkhole »). Voici un résumé détaillé des résultats de l’analyse :

· L’infrastructure C&C de Flame, qui sévissait depuis plusieurs années déjà, s’est immédiatement déconnectée du réseau après l’annonce par Kaspersky Lab de la découverte du malware la semaine dernière.

· A l’heure actuelle, on dénombre plus de 80 domaines utilisés par les serveurs C&C de Flame, enregistrés entre 2008 et 2012.

· Au cours des 4 dernières années, les serveurs hébergeant l’infrastructure C&C de Flame ont été déplacés à de multiples reprises entre, notamment, Hong Kong, la Turquie, l’Allemagne, la Pologne, la Malaisie, la Lettonie, le Royaume-Uni et la Suisse.

· Les domaines C&C de Flame ont été enregistrés sous une liste impressionnante de fausses identités ; les premiers enregistrements remontant à 2008.

· Selon le sinkhole de Kaspersky Lab, les utilisateurs infectés ont été localisés dans différentes régions du monde, notamment le Moyen-Orient, l’Europe, l’Amérique du Nord et l’Asie-Pacifique.

· Les instigateurs des attaques Flame semblent particulièrement intéressés par les documents PDF, Office et les schémas AutoCad.

· Les données téléchargées vers les serveurs de C&C Flame sont cryptées au moyen d’algorithmes relativement simples. Les documents volés sont compressés à l’aide de la librairie open source Zlib et d’une variante de la méthode PPDM.

· Windows 7 64 bit, lequel était précédemment recommandé comme une bonne solution contre les infections et malwares semblent s’avérer efficace face à Flame.

Kaspersky Lab souhaite remercier William MacArthur et le département Network Abuse de GoDaddy pour leur réactivité et soutien exceptionnel apporté pendant cette enquête. Par ailleurs, Kaspersky Lab exprime également sa gratitude à l’équipe de recherche en sécurité d’OpenDNS, qui a elle aussi prêté son concours inestimable à cette occasion.

Durant la semaine écoulée, Kaspersky Lab a pris contact avec les autorités CERT dans de nombreux pays afin de leur communiquer les informations de domaines C&C de Flame et les adresses IP des serveurs malveillants. La société adresse ses remerciements à tous ceux qui l’ont épaulée dans cette enquête.

Les autorités CERT gouvernementales désireuses de recevoir davantage d’informations sur les domaines C&C sont priées de contacter Kaspersky Lab à l’adresse « theflame@kaspersky.com ».

L’analyse complète de l’infrastructure C&C de Flame ainsi que l’ensemble des détails techniques sont disponibles sur le site Securelist.

Salle de presse virtuelle Kaspersky Lab

Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu). Destinée à l’ensemble des journalistes européens, celle-ci est spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la recherche d’informations sur l’entreprise et ses produits, de mettre à disposition des chiffres, des contenus éditoriaux, des images, des vidéos et des fichiers audio.

A propos de Kaspersky Lab

Fondé en 1997, Kaspersky Lab, éditeur international de solutions et de services de sécurité, protège plus de 300 millions d’utilisateurs à travers le monde.

Ses solutions, destinées à un usage privé et professionnel, s’appuient sur le laboratoire où travaillent de nombreux « malware-doctors » parmi les plus réputés à l’échelle internationale.

24 h sur 24 h, 7 jours sur 7, les experts de Kaspersky Lab analysent, traitent les codes malicieux et développent les antidotes proposés aux utilisateurs via des mises à jour toutes les 45 minutes.

Les technologies développées par Kaspersky Lab assurent la protection contre les programmes malveillants et la sécurité totale des informations, qu’elles soient stockées sur serveurs, postes de travail ou encore appareils mobiles.

Les laboratoires de tests indépendants, qui mesurent les performances des technologies disponibles sur le marché, ont confirmé à maintes occasions la supériorité des solutions conçues par Kaspersky Lab, retenues par plus de 120 acteurs majeurs de la sécurité informatique.

En 10 ans, Kaspersky Lab est devenu un leader mondial, présent dans plus de 60 pays. Kaspersky Lab compte près de 2000 employés à travers le monde, dont plus de 700 chercheurs et développeurs, et dispose de bureaux en Russie, en France, en Allemagne, en Australie, au Canada, en Chine, en Corée du Sud, en Espagne, aux Etats-Unis, en Grande-Bretagne, en Italie, au Japon, aux Pays-Bas, en Pologne, en Suède…




Voir les articles précédents

    

Voir les articles suivants