Kaspersky Lab découvre « The Mask », l’une des campagnes de cyberespionnage les plus avancées jamais découverte à ce jour

Kaspersky Lab découvre « The Mask », l’une des campagnes de cyberespionnage les plus avancées jamais découverte à ce jour

L’équipe de recherche en sécurité de Kaspersky Lab annonce aujourd’hui la découverte de « The Mask » (alias « Careto »), une menace avancée, en langue espagnole, incluse dans des opérations šde cyberespionnage actives depuis au moins 2007. La particularité de « The Mask » réside dans la complexité des outils employés par les auteurs des attaques. Il s’agit de malwares extrêmement élaborés, notamment un rootkit, un bootkit, des versions Mac OS X et Linux, voire des versions pour Android et iOS (iPad/iPhone).

Les principales cibles sont des administrations, des représentations diplomatiques et des šambassades, des compagnies pétrolières, gazières et énergétiques, des laboratoires de recherche et des activistes. Les victimes de ces attaques ciblées se répartissent dans 31 pays à travers le monde, allant du Moyen-Orient àl’Europe, de l’Afrique au continent américain.

Les auteurs des attaques ont essentiellement pour objectif de collecter des données sensibles auprès des systèmes infectés : documents de travail mais aussi diverses clés de cryptage, configurations VPN, clés SSH (permettant d’identifier un utilisateur sur un serveur SSH) et fichiers RDP (utilisés par le logiciel Remote Desktop Client pour ouvrir automatiquement une connexion avec un ordinateur réservé).

« Plusieurs raisons nous amènent à penser que cette campagne pourrait être commanditée par certains Etats. Avant tout, nous avons observé un très haut degré de professionnalisme dans les procédures opérationnelles du groupe qui se cache derrière cette attaque, depuis la gestion des infrastructures, la clôture de l’opération, la dissimulation au moyen de règles d’accès et l’effacement du contenu des fichiers journaux au lieu de leur suppression. Tout cela contribue à rendre cette menace persistante avancée (APT) encore plus complexe que Duqu et à en faire l’une des menaces les plus évoluées du moment », commente Costin Raiu, directeur de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Un tel niveau de sécurité opérationnelle n’est pas courant chez les groupes de cybercriminels. »

Les chercheurs de Kaspersky Lab ont pris pour la première fois conscience de l’existence de Careto l’an passé lorsqu’ils ont observé des tentatives d’exploitation d’une vulnérabilité qui avait été corrigée depuis cinq ans dans les produits de la société. Cette faille permettait au malware d’éviter toute détection. Ce constat a naturellement éveillé l’intérêt des chercheurs et déclenché leur enquête.

Pour les victimes, une infection par Careto peut se révéler désastreuse, car celui-ci intercepte toutes les communications et recueille les informations les plus vitales sur les machines ciblées. Sa détection est extrêmement difficile en raison de ses capacités de rootkit furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber espionnage.

Principales découvertes

Les auteurs semblent avoir pour langue maternelle l’espagnol, ce qui est très rare dans le cas d’attaques APT.
La campagne a été active pendant au moins cinq ans jusqu’à janvier 2014 (certains échantillons de šCareto ont été compilés en 2007). Au cours de l’enquête réalisée par Kaspersky Lab, les serveurs de commande et de contrôle (C&C) ont été mis hors service.

Plus de 380 victimes uniques ont été répertoriées sur plus de 1000 adresses IP. Les pays suivants ont été infectés : Algérie, Argentine, Belgique, Bolivie, Brésil, Chine, Colombie, Costa Rica, Cuba, Egypte, France, Allemagne, Gibraltar, Guatemala, Iran, Iraq, Libye, Malaisie, Mexique, Maroc, Norvège, Pakistan, Pologne, Afrique du Sud, Espagne, Suisse, Tunisie, Turquie, Royaume-Uni, Etats-Unis et Venezuela.

Cette opération de cyber espionnage est atypique par la complexité et l’universalité des outils utilisés par les criminels. Ces outils incluent notamment des exploits haut-de-gamme, un bout malware extrêmement sophistiqué, un rootkit, un bootkit, des versions Mac OS X et Linux et potentiellement des versions pour Android et iPad/iPhone (iOS). The Mask a également utilisé une attaque spécialement conçue pour cibler les produits Kaspersky Lab.

Fonctionnalités & méthodes d’infection

Selon le rapport d’analyse Kaspersky Lab, la campagne The Mask repose sur des emails de spear-phishing qui contiennent des liens vers un site web malicieux. Ce site web contient un certain nombre d’exploits conçus pour infecter les visiteurs, en fonction de la configuration du système. Lorsqu’un utilisateur a été infecté, le site web le redirige vers le site web bénin qui a été référencé dans l’email d’origine, qui peut être par exemple une vidéo Youtube ou un portail d’actualités.š

Il est important de noter que les sites web malicieux n’infectent pas automatiquement le visiteur. En effet, les cybercriminels hébergent leurs exploits sur le site dans des dossiers spécifiques qui ne sont pas directement référencés, excepté dans l’email d’origine. Parfois, les criminels utilisent des sous-domaines sur les sites web en question, pour accentuer le réalisme des sites web. Ces sous-domaines simulent l’existence de sous-sections des principaux journaux quotidiens espagnols et quelques journaux internationaux comme "The Guardian" ou "Washington Post".š

Le malware intercepte tous les canaux de communication et collecte les informations vitales du système infecté. Il est extrêmement difficile à détecter en raison d’un rootkit furtif. Careto est un système hautement modulaire, qui supporte des plugins et des dossiers de configuration. Cela lui permet d’exécuter de nombreuses fonctions. D’autre part, en plus des fonctionnalités intégrées, les šopérateurs de Careto pourraient ajouter des modules complémentaires capables d’effectuer n’importe quelle attaque. š

Les produits Kaspersky Lab détectent et éliminent toutes les versions connues du malware Mask/Careto.

Pour lire le rapport complet comprenant une description détaillée du Malware, de ses outils et de ses statistiques, rendez-vous sur Securelist. Un document de questions-réponses est également disponible

10.02.2014

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.