Des chercheurs ont découvert une opération de cyber espionnage sophistiqué qui a été vivante depuis 2007, utilise des techniques et codages qui dépassent les techniques d’espionnage des États-unis déjà connues à ce jour.
L’attaque, baptisée « The Mask » par les chercheurs de Kaspersky Lab qui l’ont découvert en Russie, ciblait des organismes gouvernementaux, des bureaux et des ambassades diplomatiques, avant qu’elle ne soit désamorcée le mois dernier, elle a également ciblé des entreprises dans les secteurs du pétrole, du gaz et de l’énergie ainsi que des organismes de recherches militaire. Kaspersky a découvert au moins 380 victimes dans plus d’une douzaines de pays, dont la majorité au Maroc et au Brésil.
L’attaque – peut-être d’un pays de langue espagnole – utilisait des programmes malveillants sophistiqués, des méthodes de rootkit et un bootkit pour maintenir sa persistance sur les machines infectées. Les attaquants ont cherché non seulement à voler des documents, mais aussi des clés de chiffrement et des données sur les configurations VPN.
L’attaque ciblait aussi des fichiers avec des extensions inconnues que Kaspersky n’a pas été en mesure d’identifier encore. Les chercheurs de Kaspersky pensent que ces extensions ne peuvent être utilisées que par des programmes gouvernementaux dédiés.
Kaspersky estime que cette opération d’espionnage appartient aux États-unis en raison de sa sophistication.
Les concepteurs de cette attaque ont conçus au moins deux versions de leurs programme malveillant – ciblés pour Windows et des machines à base de Linux -, les chercheurs croient qu’il peut aussi y avoir des versions mobiles de l’attaque pour les appareils Android et iPhone / iPad, sur la base des éléments de preuve qu’ils ont découvert.
Ils ont ciblé les victimes à travers des campagnes de lancement – phishing – ou ils ont inclus des liens vers des pages web où le malware se chargait sur leurs machines. Dans certains cas, les attaquant ont utilisé des sous-domaines familiers en apparence pour leurs URL malveillantes pour tromper les victimes en leur faisant croire qu’ils visitaient des sites légitimes. Une fois l’utilisateur infecté, le site Web malveillant redirige vers le site légitime qu’il cherchait.
Le module de Careto, qui siphonne les données de machines, utilisait deux couches de cryptage – RSA et AES – pour sa communication avec les serveurs de commande et de contrôle des attaquants, empêchant quiconque à un accès physique aux serveurs de lecture de la communication.
Kaspersky a découvert l’opération l’année dernière lorsque les attaquants ont tenté d’exploiter une vulnérabilité de cinq ans dans la génération précédente du logiciel de sécurité de Kaspersky qu’ils avaientt patché.
Source : LOG.MA
Jeu de briques
Snake
Pacman
Bubble