En matière de cybersécurité, le tableau actuel qu’il nous est donné de voir est une course perpétuelle entre les experts en sécurité et les pirates informatiques. Alors que les personnes travaillant pour la sécurité informatique ne manquent pas de redoubler d’ardeur pour renforcer leurs dispositifs de sécurité, les personnes malveillantes de l’autre côté du rideau assurent une veille constante afin de parvenir à leurs fins.Il y a quelques jours de cela, l’entreprise de sécurité InfoArmor a alerté les acteurs du monde informatique sur la menace que représente le malware GovRAT. Comme son nom le suggère, GovRAT est un cheval de Troie utilisé pour espionner les infrastructures gouvernementales. La particularité de ce malware est qu’il est capable de déjouer la vigilance des outils usuels de sécurité tels que les antivirus.
Pour y arriver, l’auteur de GovRAT nommé Best buy a intégré dans ce logiciel la possibilité de le signer avec des certificats numériques de sorte qu’il puisse se dissimuler dans le système sans être détecté comme un logiciel malicieux. Une fois qu’il s’introduit dans un système, il peut s’exécuter sans éveiller de soupçons en utilisant un processus authentique déjà connu.
Il faut noter qu’en plus de cette fonctionnalité, GovRAT comporte plusieurs autres caractéristiques dont le chiffrement personnalisé pour les communications, un accès au serveur de commande et contrôle avec n’importe quel navigateur, la prise en charge SSL, la possibilité de le compiler pour les systèmes Windows et Linux, la possibilité d’exécuter des commandes à distance et de télécharger des fichiers ou les exécuter sur une cible donnée, des fonctionnalités de débogage avancées pour l rendre impossible à cracker et bien plus encore.
GovRAT a été détecté pour la première fois par InfoArmor en novembre 2015 alors qu’il était encore vendu en version 1 sur le forum Hell et le marché noir TheRealDeal. Après la diffusion des informations obtenues sur GovRAT par InfoArmor, l’auteur du malware qui se faisait appeler Best buy a commencé à le vendre à partir d’un autre nom à savoir Popopret.
Récemment, les investigations d’InfoArmor ont permis de détecter la présence d’une version 2 de GovRAT sur la toile avec de nouvelles fonctionnalités dont le support du domaine TOR, un module permettant d’espionner les mots de passe en texte clair, un module permettant d’infecter les clés USB, des fonctionnalités pour extraire les clés SSH, etc.
Cette nouvelle version est vendue à des prix variant de 1 ;000 dollars à 6 ;000 dollars selon la disponibilité des modules ou du code source. Par ailleurs, en plus des différentes fonctionnalités avec lesquelles il est vendu, un autre acteur nommé POM, identifié comme le partenaire de Popopret, vend actuellement les identifiants de plus 33 ;000 personnes travaillant dans des organisations, gouvernements, l’armée et dont la plupart concernent ceux des institutions américaines. Selon InfoArmor, ces identifiants sont vendus afin d’être utilisés pour envoyer des spams ou pour distribuer le logiciel vérolé comme fichier joint.
Dans sa version 1, GovRAT a été identifié dans les attaques de 15 gouvernements, 7 institutions financières, plus de 30 sous-traitants travaillant dans la défense et des attaques de plus de 100 grandes entreprises.
Dans sa version 2, les attaques sont beaucoup plus dirigées vers les agences gouvernementales, la recherche scientifique et les entreprises technologiques comparativement aux données recensées concernant les attaques effectuées avec la version 1 de GovRAT.
Source : InfoArmor
Et vous ?
Que vous inspire ce malware ?Voir aussi
Des chercheurs découvrent le malware Project Sauron qui a espionné des institutions gouvernementales pendant cinq ans sans se faire prendre 
