Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

LuckyMouse introduit un malware au moyen d’un certificat authentique à des fins d’espionnage géopolitique

septembre 2018 par Kaspersky Lab

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a découvert plusieurs infections par un cheval de Troie jusque-là inconnu, très vraisemblablement lié à l’acteur malveillant sinophone, LuckyMouse. La particularité de ce malware réside dans son pilote soigneusement choisi, signé au moyen d’un certificat numérique authentique, lequel a été émis par un éditeur de logiciels de sécurité informatique.

LuckyMouse est connu pour ses attaques extrêmement ciblées contre de grandes institutions à travers le monde. Son activité met en danger des régions entières, notamment le Sud-Est asiatique et l’Asie centrale, car les attaques paraissent avoir un mobile politique. À en juger par le profil des victimes et les vecteurs d’attaque précédemment employés par ce groupe, les chercheurs de Kaspersky Lab pensent que le cheval de Troie qu’ils ont détecté pourrait être utilisé à des fins de cyberespionnage pour le compte d’un Etat.

Le cheval de Troie découvert par les experts de Kaspersky Lab a infecté un ordinateur cible via un logiciel pilote créé par les auteurs de l’attaque. Cela leur a permis d’exécuter toutes sortes de tâches courantes (commandes, téléchargement de fichiers, interception du trafic réseau…).

Le pilote constitue l’aspect le plus intéressant de cette campagne. Afin que celui-ci inspire confiance, le groupe a apparemment dérobé un certificat numérique appartenant à un développeur de logiciels de sécurité informatique et l’a utilisé pour signer des échantillons de malware. Le but était d’éviter la détection par des solutions de sécurité, la signature légitime donnant au malware l’aspect d’un logiciel licite.

Une autre caractéristique notable du pilote est qu’en dépit de la capacité de LuckyMouse à créer ses propres logiciels malveillants, celui employé dans l’attaque semble être une combinaison d’échantillons de code disponibles dans le domaine public et de malwares personnalisés. Cette simple adoption de code tiers prêt à l’emploi, plutôt que d’écrire du code original, fait gagner du temps aux développeurs et rend l’attribution plus difficile.

« Lorsqu’une nouvelle campagne LuckyMouse fait son apparition, c’est presque toujours à la veille d’un grand événement politique et une attaque précède généralement les sommets de dirigeants mondiaux. Les auteurs ne semblent pas s’inquiéter d’une possible attribution : du fait qu’ils utilisent à présent des échantillons de code tiers dans leurs programmes, il ne leur faut pas longtemps pour ajouter une couche supplémentaire à leurs outils d’injection ou créer une variante du malware tout en restant intraçables », observe Denis Legezo, chercheur en sécurité chez Kaspersky Lab.

Kaspersky Lab avait précédemment signalé une attaque de LuckyMouse contre un datacenter national, visant à organiser une campagne de type « waterhole » au niveau d’un pays.

Comment se prémunir de ce type d’attaques :
• Ne faites pas automatiquement confiance au code exécuté sur vos systèmes. Les certificats numériques ne garantissent pas l’absence de backdoors.
• Utilisez une solution de sécurité robuste, dotée de technologies de détection des comportements malveillants, permettant d’intercepter des menaces même inconnues jusque-là.
• Abonnez votre équipe de sécurité à un service de haute qualité pour la veille des menaces afin d’avoir très tôt accès aux informations sur les plus récentes évolutions en matière de tactiques, de techniques et de procédures des menaces complexes.




Voir les articles précédents

    

Voir les articles suivants