Crouching Yeti, une vaste campagne de cyber-espionnage

dimanche 3 août 2014

Kaspersky Lab vient de mettre à jour une vaste campagne d'espionnage baptisée "Crouching Yeti" qui se caractérise entre autres par l'utilisation de nouveaux outils malveillants et une liste étendue de victimes. 

Kaspersky Lab vient de publier les résultats de l'analyse complète du malware et de l’infrastructure de serveurs de commande et contrôle de la campagne de cyber-espionnage baptisée "Crouching Yeti". Si ses origines remontent à la fin de l’année 2010, celle-ci reste très virulente aujourd’hui et continue de faire chaque jour de nouvelles victimes. Le malware "Crouching Yeti" est ainsi impliqué dans plusieurs campagnes de menaces persistantes avancées (APT) ciblant différents secteurs d'activités allant des machines-outils à l'industrie pharmaceutique, en passant par le bâtiment, l'éducation et l'informatique.

Plus de 2 800 victimes ont déjà été recensées, dont 101 entreprises essentiellement aux Etats-Unis, en Espagne et au Japon, mais aussi en Allemagne, France, Italie, Turquie, Irlande, Pologne et Chine. "Compte tenu de la nature des victimes identifiées, le principal risque pour elles est la fuite d’informations très sensibles telles que des secrets de fabrication et du savoir-faire" soulignent les auteurs de l'analyse.

Les auteurs de ces attaques n’ont toutefois pas exploité de failles "zero day", mais uniquement des vulnérabilités largement documentées sur Internet. Les chercheurs de Kaspersky Lab ont, en effet, découvert des indices signalant l’existence de cinq types d’outils malveillants employés par les auteurs des attaques afin de dérober des informations clés sur les systèmes infectés :

L’outil le plus largement utilisé étant le cheval de Troie Havex dont 27 versions distinctes ont été identifiées, ainsi que plusieurs modules annexes, destinés notamment à la collecte de données auprès de systèmes de contrôle de processus industriels.

En ce qui concerne les serveurs de commande et contrôle, Havex et les autres outils malveillants de Crouching Yeti se connectent à un vaste réseau de sites Web piratés hébergeant les adresses des victimes et diffusant vers les systèmes infectés des commandes, ainsi que des modules de malware complémentaires. Ceux-ci servent à dérober des mots de passe et des contacts Outlook, à effectuer des captures d’écran mais aussi à rechercher et subtiliser certains types de fichiers (documents texte, tableurs, bases de données, PDF, disques virtuels, listes protégées de mots de passe, clés de sécurité PGP, etc.). 

Pour savoir de quelles origines sont les pirates, les chercheurs de Kaspersky Lab ont ensuite analysé l’horodatage des fichiers compilés. Et il s'avère que la plupart l'a été entre 6 h et 16 h, ce qui pourrait correspondre à toute l’Europe de l’Ouest ou de l’Est. Ils ont aussi analysé la langue utilisée dans les messages à l’intérieur du code malveillant : il s’agit de l’anglais (mais écrit par des individus dont ce n’est pas la langue maternelle). Si certains pensent qu'il s'agirait de russes, les spécialistes du Kaspersky Lab n’en ont pas la preuve formelle. D'autant que certains indices linguistiques révèlent la présence de locuteurs français et suédois.

Les experts de Kaspersky Lab poursuivent actuellement leurs recherches sur cette campagne, en collaboration avec les pouvoirs publics et des partenaires des différents secteurs. 

Imprimer l'article  Transférer par mail  Commenter  Facebook Twitter

En continu

Tribunes

Les vidéos du moment

Par date de parution


Derniers commentaires

ITCh sky droit

Rubriques

Thèmes

Secteurs