Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un libre blanc de F-Secure fait le lien entre CozyDuke et l’espionnage de grande envergure

avril 2015 par F-Secure

Une nouvelle analyse des malware, conduite par les laboratoires de F-Secure, montre que CozyDuke représente une menace à laquelle les gouvernements et autres grandes organisations doivent continuellement faire face. CozyDuke est une « boîte à outils » de Menaces Persistantes Avancées (« Avanced Persistant Threats » ou APT) qui combine des tactiques et des malware différents sur ses cibles pour les compromettre et leur voler des données. Cette nouvelle analyse montre des liens avec d’autres APT responsables d’un certain nombre d’attaques très médiatisées.

D’après l’analyse, CozyDuke partage les ressources de commande et de contrôle avec les célèbres APT MiniDuke et OnionDuke. Les laboratoires de F-Secure ont attribué plusieurs attaques de grande envergure à ces plates-formes APT, y compris celles contre les personnes utilisant un nœud de sortie Tor situé en Russie, ainsi que les attaques menées contre l’OTAN et un certain nombre d’agences gouvernementales européennes*. CozyDuke utilise en grande partie la même infrastructure que ces autres plates-formes et emploie des algorithmes de chiffrage similaires à ceux d’OnionDuke.

Pour Sean Sullivan, Security Advisor chez F-Secure : « Toutes ces menaces sont liées les unes aux autres et partagent les mêmes ressources, mais chacune est conçue un peu différemment pour les rendre plus efficaces contre des cibles particulières. Ce qui est intéressant avec CozyDuke, c’est qu’il est utilisé contre un éventail de cibles plus diverses. Nombre de ses objectifs reste des gouvernements occidentaux et leurs institutions, mais nous constatons qu’il est aussi utilisé contre des cibles basées en Asie, ce qui est tout à fait remarquable. »

CozyDuke et ses dérivés peuvent provenir de Russie**. Les assaillants établissent une tête de pont au sein d’une organisation en trompant les employés, par exemple en leur faisant ouvrir un fichier-leurre (un PDF ou une vidéo), permettant à CozyDuke d’infecter leur système sans être repéré. Les attaquants peuvent ensuite effectuer plusieurs tâches en utilisant différentes charges utiles compatibles avec CozyDuke. Ces actions ouvrent la voie au vol de mots de passe et autres informations sensibles comme l’exécution de commandes à distance ou l’interception de communications confidentielles.

Sean Sullivan reconnaît qu’il n’y a pas encore de preuves suffisantes pour déterminer à coup sûr la véritable identité et les motivations des assaillants, mais il est certain que ce sont les mêmes personnes responsables des attaques attribuées à OnionDuke et MiniDuke. « CozyDuke est actif depuis 2011, mais c’est une menace qui s’est développée et continue à muter. Ce qui veut dire qu’un – ou des- groupes ont investi du temps et de l’argent pour développer ces outils. Déterminer leurs objectifs doit donc être notre priorité ».

Le livre blanc note également que CozyDuke étudie les logiciels de cyber-sécurité installés avant d’infecter le système, et certains types de logiciels peuvent l’amener à abandonner l’attaque. Le livre blanc, écrit par Artturi Lehtiö, Threat Intelligence Analyst chez F-Secure, est gratuit et disponible en téléchargement sur le site internet de F-Secure.


*Source : https://www.f-secure.com/weblog/archives/00002764.html
**Source : https://www.f-secure.com/weblog/archives/00002780.html


Voir les articles précédents

    

Voir les articles suivants