Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

GovRAT : le malware déjouant la vigilance des antivirus refait surface en version 2
Avec pour première cible les agences du gouvernement américain

Le , par Olivier Famien

0PARTAGES

5  0 
En matière de cybersécurité, le tableau actuel qu’il nous est donné de voir est une course perpétuelle entre les experts en sécurité et les pirates informatiques. Alors que les personnes travaillant pour la sécurité informatique ne manquent pas de redoubler d’ardeur pour renforcer leurs dispositifs de sécurité, les personnes malveillantes de l’autre côté du rideau assurent une veille constante afin de parvenir à leurs fins.

Il y a quelques jours de cela, l’entreprise de sécurité InfoArmor a alerté les acteurs du monde informatique sur la menace que représente le malware GovRAT. Comme son nom le suggère, GovRAT est un cheval de Troie utilisé pour espionner les infrastructures gouvernementales. La particularité de ce malware est qu’il est capable de déjouer la vigilance des outils usuels de sécurité tels que les antivirus.

Pour y arriver, l’auteur de GovRAT nommé Best buy a intégré dans ce logiciel la possibilité de le signer avec des certificats numériques de sorte qu’il puisse se dissimuler dans le système sans être détecté comme un logiciel malicieux. Une fois qu’il s’introduit dans un système, il peut s’exécuter sans éveiller de soupçons en utilisant un processus authentique déjà connu.

Il faut noter qu’en plus de cette fonctionnalité, GovRAT comporte plusieurs autres caractéristiques dont le chiffrement personnalisé pour les communications, un accès au serveur de commande et contrôle avec n’importe quel navigateur, la prise en charge SSL, la possibilité de le compiler pour les systèmes Windows et Linux, la possibilité d’exécuter des commandes à distance et de télécharger des fichiers ou les exécuter sur une cible donnée, des fonctionnalités de débogage avancées pour l rendre impossible à cracker et bien plus encore.

GovRAT a été détecté pour la première fois par InfoArmor en novembre 2015 alors qu’il était encore vendu en version 1 sur le forum Hell et le marché noir TheRealDeal. Après la diffusion des informations obtenues sur GovRAT par InfoArmor, l’auteur du malware qui se faisait appeler Best buy a commencé à le vendre à partir d’un autre nom à savoir Popopret.

Récemment, les investigations d’InfoArmor ont permis de détecter la présence d’une version 2 de GovRAT sur la toile avec de nouvelles fonctionnalités dont le support du domaine TOR, un module permettant d’espionner les mots de passe en texte clair, un module permettant d’infecter les clés USB, des fonctionnalités pour extraire les clés SSH, etc.

Cette nouvelle version est vendue à des prix variant de 1 ;000 dollars à 6 ;000 dollars selon la disponibilité des modules ou du code source. Par ailleurs, en plus des différentes fonctionnalités avec lesquelles il est vendu, un autre acteur nommé POM, identifié comme le partenaire de Popopret, vend actuellement les identifiants de plus 33 ;000 personnes travaillant dans des organisations, gouvernements, l’armée et dont la plupart concernent ceux des institutions américaines. Selon InfoArmor, ces identifiants sont vendus afin d’être utilisés pour envoyer des spams ou pour distribuer le logiciel vérolé comme fichier joint.

Dans sa version 1, GovRAT a été identifié dans les attaques de 15 gouvernements, 7 institutions financières, plus de 30 sous-traitants travaillant dans la défense et des attaques de plus de 100 grandes entreprises.

Dans sa version 2, les attaques sont beaucoup plus dirigées vers les agences gouvernementales, la recherche scientifique et les entreprises technologiques comparativement aux données recensées concernant les attaques effectuées avec la version 1 de GovRAT.

Source : InfoArmor

Et vous ?

Que vous inspire ce malware ?

Voir aussi

Des chercheurs découvrent le malware Project Sauron qui a espionné des institutions gouvernementales pendant cinq ans sans se faire prendre

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Jonyjack
Membre averti https://www.developpez.com
Le 13/09/2016 à 11:47
En tout cas je trouve que c'est vraiment pas cher ! Développer ce genre d'outil n'est pas à la portée du premier venu et 6000$ le programme complet avec les sources c'est pas élevé. Surtout quand on voit le forfait des SSII
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 13/09/2016 à 3:51
Ha l'espionnage politique et industriel que cette annonce suggère fait penser à une équipe soutenue par la Russie, mais après tout est question d'interprétation
0  0 
Avatar de Jimmy_
Membre éprouvé https://www.developpez.com
Le 13/09/2016 à 14:07
Il y a deux caractéristiques techniques vraiment difficile à obtenir, c'est d'usurper un process système via une signature numérique.
Ensuite résister au reverse engineering via un debugging.
Le reste n'a rien de vraiment compliqué.
0  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 13/09/2016 à 14:09
Pour 6000 $ tu n'a très certainement pas les sources et surement un nombre d'installation limité...
0  0