Kaspersky Lab identifie MiniDuke, un nouveau programme malveillant conçu pour espionner de multiples entités gouvernementales et institutions à travers le monde

Kaspersky Lab identifie MiniDuke, un nouveau programme malveillant conçu pour espionner de multiples entités gouvernementales et institutions à travers le monde

L’équipe d’experts de Kaspersky Lab publie aujourd’hui une nouvelle étude consacrée à une série d’incidents exploitant une faille du format PDF récemment découverte dans Adobe Reader (CVE-2013-6040), en combinaison avec un nouveau programme malveillant extrêmement personnalisé, dénommé MiniDuke. Cette « backdoor » a servi à attaquer de multiples entités gouvernementales et institutions à travers le monde au cours de la semaine dernière. Les experts de Kaspersky Lab, en partenariat avec CrySys Lab, ont analysé les attaques en détail et rendent publiques leurs observations.

Selon l’enquête de Kaspersky Lab, MiniDuke a déjà fait un certain nombre de victimes de haut niveau, notamment des entités gouvernementales dans divers pays (Ukraine, Belgique, Portugal, Roumanie, République tchèque, Irlande). Par ailleurs, un institut de recherche, deuxš « think tanks » (spce) et un prestataire de santé aux Etats-Unis ont également été visés, de même qu’une éminente fondation de recherche en Hongrie.

« Il s’agit là d’une cyberattaque très inhabituelle », souligne Eugene Kaspersky, fondateur et CEO de Kaspersky Lab. « Cela me rappelle une typologie de programmes malveillants de la fin des années 1990 ou du début des années 2000. C’est à se demander si leurs auteurs ne se seraient pas soudainement réveillés après une période d’hibernation de plus de dix ans, afin de faire leur entrée sur la scène des cybermenaces évoluées. Ces programmeurs d’élite “de la vieille école” ont fait preuve par le passé d’une extrême efficacité dans la création de virus très complexes et allient aujourd’hui ces compétences avec les dernières techniques d'évasion de sandbox,š afin de cibler des entités gouvernementales ou des établissements de recherche dans plusieurs pays. »

« La « backdoor » extrêmement personnalisée de MiniDuke est programmée en langage assembleur, et très petite, soit à peine 20 Ko », précise Eugene Kaspersky. «š L’association de programmeurs chevronnés, exploitant des failles récemment découvertes et d’astucieuses techniques de “social engineering” pour s’attaquer à des cibles de haut niveau, présente un danger extrême. »

Principaux résultats de l’étude de Kaspersky Lab :

š
  • Les auteurs des attaques MiniDuke sont toujours actifs à l’heure actuelle et ont encore créé des malwares à une date aussi récente que le 20 février 2013. Pour s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering” extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« s andbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique.
  • Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrite en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares.
  • Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.
  • D’après l’analyse, il semble que les créateurs de MiniDuke recourent à un système dynamique de rechange qui peut également lui permettre « d’échapper aux radars ». Si Twitter ne fonctionne pas ou que les comptes ne sont pas disponibles, le malware peut lancer une recherche Google afin de trouver les chaînes cryptées sur le serveur C&C le plus proche. Grâce à ce modèle d’une grande souplesse, les agresseurs peuvent changer constamment le mode de récupération des commandes ou du code malveillant par leurs backdoors, si nécessaire.
  • Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptés, dissimulés sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour un backdoor plus volumineux qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware.
  • Le backdoor se connecte à deux serveurs, l’un au Panama, l’autre en Turquie, afin de recevoir les instructions des auteurs des attaques.

Pour prendre connaissance de l’intégralité de l’étude de Kaspersky Lab et de conseils pour se protéger des attaques MiniDuke, consultez le site Securelist.

Le rapport de CrySys Lab est disponible sur la page suivante.

Les logiciels de Kaspersky Lab détectent et neutralisent le malware MiniDuke, sous la classification HEUR:Backdoor.Win32.MiniDuke.gen et Backdoor.Win32.Miniduke. Les failles exploitées dans les documents PDF sont également détectées sous la classification Exploit.JS.Pdfka.giy.

27.02.2013

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.