Les gouvernements de 23 pays victimes des cyberattaques inhabituelles
MiniDuke exploite une faille dans Adobe Reader
Le 2013-02-28 15:34:50, par Hinault Romaric, Responsable .NET
Une nouvelle variante de malware, permettant d’espionner des gouvernements et des institutions à travers le monde, vient d’être découverte par le cabinet de sécurité Kaspersky en partenariat avec les chercheurs du Crysys Lab de Budapest.
Le malware, baptisé MiniDuke, aurait exploité une faille de sécurité découverte récemment dans le lecteur PDF Adobe Reader pour compromettre les systèmes de plusieurs organisations.
La faille dans Adobe Reader avait été découverte par FireEye et pouvait être utilisée pour contourner la sécurité du Sandbox (bac à sable) implémenté dans le logiciel et prendre le contrôle d’un poste affecté via un PDF piégé.
Les pirates utilisent comme vecteur d’infection un fichier PDF corrompu traitant de la politique étrangère, d’un séminaire sur les droits de l’Homme ou des plans d’adhésion à l’OTAN qui, après ouverture, permet l’installation de MiniDuke.
Le malware génère par la suite une signature unique pour chaque poste affecté, qui sera utilisée pour chiffrer les échanges avec ses créateurs. MiniDuke aurait la capacité de suivre discrètement des comptes Twitter prédéfinis pour déchiffrer des tweets contenant des marqueurs spécifiques signalant des URL chiffrées comportant les adresses des serveurs de Command and Control qui permettront au malware de rester connecté en cas d’arrêt du premier.
D’une taille de 20 Kb seulement et écrit en assembleur, ce malware d’un type très différent serait, pour le CEO de Kaspersky, écrit par des programmeurs de la vieille école.
« Il s’agit là d’une cyberattaque très inhabituelle », souligne Eugene Kaspersky, fondateur et CEO de Kaspersky Lab. « Cela me rappelle une typologie de programmes malveillants de la fin des années 1990 ou du début des années 2000. C’est à se demander si leurs auteurs ne se seraient pas soudainement réveillés après une période d’hibernation de plus de dix ans, afin de faire leur entrée sur la scène des cybermenaces évoluées. Ces programmeurs d’élite “de la vieille école” ont fait preuve par le passé d’une extrême efficacité dans la création de virus très complexes et allient aujourd’hui ces compétences avec les dernières techniques d'évasion de sandbox, afin de cibler des entités gouvernementales ou des établissements de recherche dans plusieurs pays. »
Environ 59 ordinateurs d'organisations gouvernementales, d'instituts de recherche et de « Think Tanks » de près de 23 pays ont été affectés ces 10 derniers jours, y compris les dispositifs de l’OTAN.
Il faut noter que la faille dans Adobe Reader avait été patchée la semaine dernière par un correctif d’urgence publié par Adobe.
Source : SECURELIST
Le malware, baptisé MiniDuke, aurait exploité une faille de sécurité découverte récemment dans le lecteur PDF Adobe Reader pour compromettre les systèmes de plusieurs organisations.
La faille dans Adobe Reader avait été découverte par FireEye et pouvait être utilisée pour contourner la sécurité du Sandbox (bac à sable) implémenté dans le logiciel et prendre le contrôle d’un poste affecté via un PDF piégé.
Les pirates utilisent comme vecteur d’infection un fichier PDF corrompu traitant de la politique étrangère, d’un séminaire sur les droits de l’Homme ou des plans d’adhésion à l’OTAN qui, après ouverture, permet l’installation de MiniDuke.
Le malware génère par la suite une signature unique pour chaque poste affecté, qui sera utilisée pour chiffrer les échanges avec ses créateurs. MiniDuke aurait la capacité de suivre discrètement des comptes Twitter prédéfinis pour déchiffrer des tweets contenant des marqueurs spécifiques signalant des URL chiffrées comportant les adresses des serveurs de Command and Control qui permettront au malware de rester connecté en cas d’arrêt du premier.
D’une taille de 20 Kb seulement et écrit en assembleur, ce malware d’un type très différent serait, pour le CEO de Kaspersky, écrit par des programmeurs de la vieille école.
« Il s’agit là d’une cyberattaque très inhabituelle », souligne Eugene Kaspersky, fondateur et CEO de Kaspersky Lab. « Cela me rappelle une typologie de programmes malveillants de la fin des années 1990 ou du début des années 2000. C’est à se demander si leurs auteurs ne se seraient pas soudainement réveillés après une période d’hibernation de plus de dix ans, afin de faire leur entrée sur la scène des cybermenaces évoluées. Ces programmeurs d’élite “de la vieille école” ont fait preuve par le passé d’une extrême efficacité dans la création de virus très complexes et allient aujourd’hui ces compétences avec les dernières techniques d'évasion de sandbox, afin de cibler des entités gouvernementales ou des établissements de recherche dans plusieurs pays. »
Environ 59 ordinateurs d'organisations gouvernementales, d'instituts de recherche et de « Think Tanks » de près de 23 pays ont été affectés ces 10 derniers jours, y compris les dispositifs de l’OTAN.
Il faut noter que la faille dans Adobe Reader avait été patchée la semaine dernière par un correctif d’urgence publié par Adobe.
Source : SECURELIST
-
MiaowZedongMembre extrêmement actifComme quoi, connaître l'assembleur n'est pas si ringard que ça. En même temps, j'ai des doutes sur cette histoire de tontons hackers, il n'y a pas d'âge pour bien coder (heureusement).le 28/02/2013 à 15:43
-
GeoTrouvePasMembre éprouvéJe pense que c'est plus en rapport avec la structure du code qu'avec sa qualité.
Mais bon, je vois pas bien ce qui a été révolutionné en à peine dix ans.C'est vrai qu'il faut prendre une bonne respiration avant de se lancer mais grammaticalement c'est correctLe prix de la phrase la plus relou à lire est décerné àle 28/02/2013 à 17:41 -
VoyvodeMembre émériteEt ce genre d'attaque a encore de beaux jours devant elle avec l'informatique mille-feuilles.
Les couches d'abstraction sont nécessaires pour s'affranchir de la complexité technique, mais multiplier tous azimuts les fonctions sans aller par moment jeter un œil aux entrailles du logiciel se fait au prix de la sécurité, de la stabilité et de la cohérence.
Lis du Proust, tu verras…le 28/02/2013 à 20:37 -
transgohanExpert éminentQuand je lis cela je ne peux m'empêcher de penser que les vieux dev malveillants sont peut être pas si inactif que cela.
Et si tout simplement on avait pas encore trouvé leurs malwares ?le 01/03/2013 à 8:28 -
ScroudaFFutur Membre du ClubLe prix de la phrase la plus relou à lire est décerné à.......... :MiniDuke aurait la capacité de suivre discrètement des comptes Twitter prédéfinis pour déchiffrer des tweets contenant des marqueurs spécifiques signalant des URL chiffrées comportant les adresses des serveurs de Command and Control qui permettront au malware de rester connecté en cas d’arrêt du premier.le 28/02/2013 à 16:07
-
GeoTrouvePasMembre éprouvéC'est exactement ce que je me disais !
Quand on voit qu'on découvre aujourd'hui la version 0.5 de Stuxnet alors qu'elle sévit depuis 2007.....le 01/03/2013 à 9:33 -
ProgmeurEn attente de confirmation mailLa sécurité total n'existe pas ... ha si mais adieu internet pour l’appliqué. En tout cas sur internet ou une machine, il y auras toujours des failles exploitable.
En tout cas toujours plus que des moyens de les résoudre. Tout système est pénétrable a condition de faire preuve de beaucoup d’innovation voir d'une très grande créativité parfois.le 26/03/2013 à 10:29